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网 络 犯罪 侦查 集 法 律 .谋略 和 实践 于 一 体 , 具 有 相当 的 知识 广度 和 深度 。 本 书 按照 网 络 犯罪 侦查 的 学 
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期 待 已 久 的 由 李 锦 同志 主编 的 (公安 院 校 招 录 培 养 体制 改革 试点 专业 系列 教材 ) 终 于 出 

版 了 ! 该 系列 教材 是 我 国 第 一 套 计算 机 犯罪 侦查 专业 系列 教材 , 它 的 出 版 解决 了 国内 相关 
院 校 教师 与 学 生 急需 的 教科 书 问题 ,也 为 从 事 信 息 安 全 专业 和 侦查 执法 人 员 提 供 一 套 极 有 
价值 的 参考 丛书 。 这 实 属 一 件 可 喜 可 贺 的 事 ! 
于 信息 技术 空前 迅速 的 发 展 , 极 具 挑战 的 计算 机 网 络 空间 形成 了 一 个 变幻 无 穷 的 虚拟 
空间 。 现 实 社会 中 的 犯罪 越 来 越 多 地 涉及 计算 机 、 手 机 等 工具 ,各 种 数字 技术 与 网 络 虚拟 空间 
的 交汇 ,使 计算 机 犯罪 侦查 技术 变 得 空前 重要 与 紧迫 。 从 20 世纪 90 年 代 兴 起 的 数字 取证 调 
查 ,涌现 出 各 种 各 样 的 技术 和 工具 ,使 得 数字 取证 成 为 计算 机 专业 的 一 门 新 兴学 科 。 国 际 上 的 一 
些 大 学 近年 来 已 设置 了 专门 的 系 和 研究 生 学 位 的 授予 ,为 计算 机 犯罪 侦查 的 教学 内 容 增添 了 丰 
富 而 又 精彩 的 情景 。 他 山 之 石 可 以 攻 玉 ,许多 技术 和 教材 可 以 借鉴 ,但 数字 取证 牵涉 到 法 学 法 
规 ,各 国 的 国情 不 尽 相同 , 唯 一 的 解决 办 法 就 是 必须 自主 创新 ,撰写 适合 国内 需要 的 相应 教材 。 

面临 这 一 臂 山 开 路 的 挑战 ,本 教材 从 专业 的 技术 层面 为 国内 的 本 科 生 尝试 提供 全 面 的 
教学 培训 ,内 容 包 括 了 从 互联 网 体系 结构 原理 到 电子 商务 应 用 与 各 种 法 规 , 以 及 计算 机 网 络 
攻防 技术 与 信息 系统 安全 等 级 保护 与 管理 等 基础 知识 ,重点 围绕 着 计算 机 犯罪 调查 的 手段 、 
工具 与 方法 以 及 数据 证 据 的 分 析 与 鉴定 等 基础 知识 ; 教材 注重 在 传授 理论 知识 的 同时 , 强 
化 面向 实战 能 力 的 培训 ,全 套 教材 既 适 应 了 学 科 特 点 又 考虑 到 学 生 层 次 的 具体 情况 ,处 处 反 
映 出 作者 们 的 精心 思索 。 

本 系列 教材 参 编 的 作者 全 部 来 自 辽 宁 警 官 高 等 专科 学 校 的 师资 队伍 ,该 校 地 处 辽东 半 
岛 ,面临 蓝 色 的 大 海 , 大 浪 淘 沙 涌现 一 批 时 代 的 人 杰 。 上 庄严 整洁 的 校园 具有 公安 教育 突出 的 
特色 ,更 为 可 贵 的 是 他 们 倡导 教学 .科研 . 警 务实 践 紧 密 结合 ,不断 创新 教学 模式 的 一 贯 校 
风 , 每 年 从 那里 培养 出 大 量 信息 时 代 专 业 特色 明显 、 创 新 能 力 强 的 人 才 队 伍 。 本 套 系列 教材 
的 出 版 充分 体现 了 该 校 的 学 术 水 平 与 精神 面貌 .尤其 映射 出 参 编 作者 们 拥有 第 一 线 资 深 的 
教学 经 验 和 扎实 的 实际 专业 知识 ,以 及 始终 保持 一 股 奋发 上 进 、 开 拓 创 新 的 风范 。 我 在 此 由 
里 地 对 本 教材 的 出 版 表示 祝贺 ,并 预 祝 他 们 再 接 再 厉 , 取 得 更 加 辉煌 的 成 功 ! 


2012 年 6 月 于 北京 
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网 络 空间 的 无 限 扩 展 在 给 予 人 类 便利 的 同时 ,也 为 犯罪 提供 了 滋生 的 土壤 。 一 方面 ,网 
络 犯罪 借助 技术 的 发 展 更 加 隐蔽 ,变化 形式 多 样 ,没有 规律 可 循 ,给 侦查 取证 带 来 了 严峻 的 
挑战 。 另 一 方面 ,习惯 了 传统 侦破 方法 的 侦查 不 能 及 时 变换 思路 ,工作 方式 和 技术 已 经 过 
时 ,侦查 机 关 的 人 员 业 务 素 质 和 技能 都 无 法 适应 现实 斗争 的 需要 。 网 络 犯罪 的 快速 蔓延 与 
执法 部 门 的 应 对 乏力 形成 了 巨大 的 反差 。 

要 改变 这 一 切 , 首 先 要 认识 到 我 们 国家 的 执法 部 门 整体 上 侦查 能 力 落后 于 时 代 的 要 求 。 
侦查 机 关 的 侦查 技术 、 侦 查理 念 都 远 滞后 于 时 代 要 求 。 对 于 网 络 犯 罪 的 打击 仍然 关注 * 抓 
人 ”而 非 “ 证 据 ”, 重 视 “ 结 果 ” 而 非 “ 过 程 ”, 育 目地 相信 技术 侦查 措施 ,强调 “ 走 捷 径 ”。 这 将 无 
法 跟 上 飞速 变化 的 网 络 社会 发 展 需要 。 

解决 问题 的 核心 ,一 是 改变 网 络 犯罪 的 现 有 侦查 机 制 。 打 击 网 络 犯罪 不 仅 是 “网 警 "一 
个 部 门 , 而 是 公安 机 关 乃 至 所 有 执法 部 门 共同 的 责任 与 目标 ; 二 是 提高 网 络 犯罪 侦查 能 力 。 
网 络 犯罪 法 律 知识 和 侦查 技术 是 每 个 执法 者 必 备 并 能 熟练 运用 的 技能 。 执 法 者 需要 在 认识 
计算 机 网 络 的 特点 和 趋势 的 基础 上 ,将 法 律 和 技术 加 以 有 效 的 运用 ,建立 符合 实际 需求 的 侦 
查 机 制 ,形成 高 效率 的 侦查 体系 ,才能 从 容 应 对 网 络 犯罪 的 变化 。 

目前 ,学 术 界 研究 对 于 网 络 犯罪 给 予 了 更 多 的 关注 和 思考 。 但 是 由 于 所 处 地 位 和 关注 
角度 的 不 同 ,更 多 地 集中 在 刑法 学 和 证 据 学 角度 ,与 一 线 实战 存在 脱节 ,无 法 形成 指引 实战 
的 侦查 机 制 。 而 广大 网 络 安全 执法 人 员 认 为 ,网 络 犯 罪 侦 查 主要 依赖 技术 侦查 措施 ,对 此 讳 
莫如 深 ,长 此 以 往 , 导 致 网 络 侦查 知识 无 法 普及 ,难以 提高 网 络 安全 侦查 技术 和 技能 。 

2005 年 ,笔者 编写 出 版 了 电子 数据 取证 的 专著 一 一 (计算 机 取证 技术 》; 2015 年 ,又 出 
版 了 《电子 数据 取证 》。 从 一 个 理想 青年 成 长 为 一 名 网 络 安全 保卫 战线 的 执法 者 ,十 年 破 草 
成 蝶 。 看 到 很 多 的 执法 者 面 对 网 络 犯罪 侦查 的 无 计 可 施 . 笔 者 决定 编写 (网 络 犯 罪 侦 查 》。 
这 对 于 笔者 来 说 ,不 仅 是 研究 领域 的 扩展 ,更 是 水 到 渠 成 。 

网 络 犯 罪 侦 查 涉及 多 门 学 科 和 业务 方向 。 本 书 的 编写 集中 了 全 国 网 络 犯 罪 侦 查 的 顶尖 
专家 学 者 ,他 们 工作 于 网 络 安全 保卫 的 各 条 战线 ,具有 丰富 的 侦查 经 验 和 高 超 的 侦查 技术 。 
各 位 作者 都 是 网 络 犯罪 侦查 领域 的 佼佼 者 .他 们 能够 无 偿 地 奉献 出 自己 独到 的 知识 和 丰富 
经 验 , 体 现 出 无 私 的 胸怀 。 将 实践 中 积累 的 知识 和 经 验 跃 然 纸 上 ,不 仅 是 对 个 人 能 力 的 一 种 
肯定 ,而 且 是 整个 侦查 体系 的 传承 和 升华 ,更 是 侦查 机 关 与 教育 机 构 联系 的 纽带 。 
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本 书 从 侦查 的 角度 出 发 ,紧密 结合 实践 ,对 网 络 犯罪 侦查 的 各 个 方面 进行 了 全 方位 的 解 
读 。 本 书 在 法 律 方面 邀请 网 络 犯罪 侦查 法 律 的 制定 者 参与 编写 ,技术 方面 集中 了 网 络 犯罪 
侦查 的 前 沿 技术 ; 案例 方面 根据 典型 的 案件 类 型 ,从 技术 和 谍 略 角度 ,做 了 详尽 的 阐述 。 尽 
管 如 此 ,本 书 不 是 “葵花 宝典 ”, 读 者 不 会 从 中 得 到 侦查 秘籍 ,而 且 由 于 网 络 的 飞速 发 展 使 得 
本 书 不 可 能 预见 未 来 的 网 络 犯罪 。 本 书 的 目的 是 给 予 读者 从 事 网 络 犯罪 侦查 的 相关 知识 和 
技术 ,从 而 形成 符合 自己 工作 需要 的 侦查 谋略 。 

本 书 的 作者 团队 介绍 如 下 : 

主编 : 刘 浩 阳 , 男 ,研究 生 学 历 。 大 连 市 公安 局 网 络 安全 保卫 支队 七 大 队 大 队长 ,大连 市 
公安 局 电子 物证 检验 鉴定 实验 室 主 任 ` 公 安 部 网 络 侦查 专家 、 全 国 刑事 技术 标准 化 技术 委员 
会 电子 物证 分 技术 委员 会 专家 、 中 国 合格 评定 国家 委员 会 评审 员 、 中 国电 子 学 会 计算 机 取证 
专家 委员 会 委员 ,辽宁 省 警察 学 院 客座 老师 、 公 安 部 优秀 专业 技术 人 才 一 等 奖 获得 者 .大连 
市 五 一 劳动 奖章 获得 者 。 出 版 专著 (计算 机 取证 技术 》; 公安 院 校 招 录 培 养 体制 改革 试点 专 
业 系 列 教材 (电子 数据 取证 ) 主 编 .公安 院 校 本 科 统 编 教 材 ( 电 子 数 据 检 验 技术 与 应 用 ) 副 主 
编 《 电 子 数据 勘查 取证 与 鉴定 (数据 恢复 与 取证 )) 副 主编 ,撰写 论文 十 余 篇 ; 拥有 国家 专利 
一 项 。 

副 主编 : 董 健 , 男 , 副 研 究 员 。 国 内 首届 计算 机 物证 专业 硕士 .博士 ,公安 部 网 络 侦查 专 
家 ,信息 网 络 安全 公安 部 重点 实验 室 专家 。 现 任职 于 公安 部 第 三 研究 所 ,公安 部 网 络 技术 研 
发 中 心 ,信息 网 络 安全 公安 部 重点 实验 室 、 国 家 反 计算 机 入 侵 和 防 病 毒 研究 中 心 , 曾 任 山 东 
省 公安 厅 网 络 案件 侦查 支队 长 ,从 事 网 络 案 件 侦 查 、 电 子 证 据 勘 验 鉴 定 、 网 络 安 全 科研 工作 
10 余年 ,参与 国家 “十 二 五 “十 三 五 ”相关 科研 项 目 , 承 担 公 安 部 重点 和 国家 级 科研 课题 
多 项 。 

副 主编 : 张 安 大 , 男 。 沈 阳 市 公安 局 网 络 安全 保卫 支队 案件 大 队 大 队长 ,沈阳 市 劳动 模 
范 ,中 国 刑警 学 院 客座 讲师 ,多 次 在 全 省 网 警 侦 查 培训 班 、 全 省 警 督 培训 班 授课 。 组 建 了 沈 
阳 市 公安 局 电子 物证 鉴定 中 心 、 沈 阳 市 反 信息 诈骗 中 心 。 成 功 侦 破 公 安 部 督办 网 络 案 件 10 
余 起 , 荣 立 个 人 一 等 功 1 次 ,个 人 二 等 功 5 次 。 

副 主编 : 韩 马 剑 , 男 。 河 北 省 公安 厅 网 络 安全 保卫 总 队 电 子 数据 鉴定 支队 支队 长 ,公安 
部 网 络 侦查 专家 。 从 事 电子 数据 取证 工作 10 余年 ,公安 院 校 招 录 培 养 体制 改革 试点 专业 系 
列 教材 (电子 数据 取证 ) 副 主编 ,多 次 参加 网 络 犯罪 .电子 数据 等 相关 司法 解释 的 制定 工作 。 
在 网 络 案件 侦查 和 电子 数据 取证 工作 方面 具有 和 较 深 的 造 诈 , 侦 办 了 多 起 重大 黑客 攻击 、 网 络 
赌博 、 网 络 淫秽 色情 、 网 络 传销 、 网 络 诈 骗 等 案件 。 

副 主编 : 段 涵 瑞 , 男 。 新 疆 维吾尔 自治 区 公安 厅 网 络 安全 保卫 总 队 案 件 侦查 队 队 长 。 高 
级 工程 师 、 公 安 部 网 络 侦查 专家 、 全 国 刑事 技术 标准 化 委员 会 电子 物证 检验 分 技术 委员 会 委 
员 。 参 与 了 一 系列 电子 物证 检验 规范 的 制定 工作 。 公 安 院 校 招 录 培 养 体 制 改革 试点 专业 系 
列 教材 (电子 数据 取证 ) 编 者 。 撰 写 的 多 篇 论文 发 表 在 (中 国 刑事 警察 ) 等 国家 级 和 省 部 级 刊 
物 上 ,直接 参与 了 一 批 大 要 案 的 侦查 取证 和 检验 鉴定 工作 。 
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副 主 编 : 侯 钧 雷 , 男 ,理学 学 士 \ 工 程 硕 士 。 公 安 部 网 络 安全 保卫 局 副 处 长 ,主要 从 事 网 
络 犯 罪案 件 侦查 、 电 子 数据 取证 以 及 相关 法 律 法 规制 订 工 作 。 先 后 参与 起 草 了 危害 计算 机 
信息 系统 安全 刑事 解释 、 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 相关 意见 以 及 公安 机 关 电子 
数据 取证 规则 等 文件 。 

副 主 编 : 张 饮 , 男 ,硕士 。 国 家 计算 机 病毒 应 急 处 理 中 心 应 急 部 部 长 ,高 级 工程 师 , 公 安 
部 网 络 安全 专家 组 专家 。 公 安 院 校 招 录 培 养 体制 改革 试点 专业 系列 教材 (电子 数据 取证 》 编 
者 。 从 事 网 络 安全 恶意 代码 分 析 工 作 10 余年 ,协助 破获 “熊猫 烧香 ”等 重大 网 络 犯 罪案 件 
20 余 起 ,参与 多 项 省 部 科研 项 目 和 行业 标准 ,撰写 论文 10 余 篇 。 

副 主 编 : 程 者 , 男 , 工 学 、 法 学 双 学 士 。 安 徽 省 公安 厅 电 子 数据 鉴定 实验 室 技 术 负 责 人 ， 
公安 部 网 络 侦查 专家 。 公 安 院 校 招 录 培 养 体制 改革 试点 专业 系列 教材 (电子 数据 取证 ) 副 主 
编 ;《 电 子 数据 勘查 取证 与 鉴定 (电子 证 据 搜索 )) 副 主编 。 

编者 : 童 泳 , 男 。 江 苏 省 公安 厅 网 络 安 全 保卫 总 队 支 队长 ,公安 部 网 络 侦查 专家 、 追 逃 专 
家 ,江苏 省 “333 高 级 人 才 ”。 盐 城 团 市 “十 大 杰出 青年 “新 长 征 突击 手 标兵 ”。3 次 获得 二 等 
功 。《 童 泳 信 息 化 工作 法 ) 获 “首届 江苏 省 公安 机 关 科技 创新 奖项 ”。 

编者 : 喻 海松 , 男 ,法 学 学 士 、 硕 士 .博士 。 留 学 德国 马 普 外 国 刑法 暨 国际 刑法 研究 所 。 
现任 最 高 人 民法 院 研究 室 法 官 , 主 要 从 事 刑事 司法 解释 起 草 和 参与 立法 机 关 有 关 刑 事 立 法 
工作 。 先 后 参与 起 草 了 危害 计算 机 信息 系统 安全 刑事 解释 、 刑 事 诉讼 法 解释 等 多 部 司法 解 
释 和 网 络 犯罪 刑事 诉讼 程序 意见 等 多 部 规范 性 文件 。 出 版 专著 《刑法 的 扩张 一 一 刑法 修正 
案 ( 九 ) 及 新 近 刑法 立法 解释 司法 适用 解读 》。 

编者 : 卢 容 , 女 , 工 学 博士 。 辽 宁 警 察 学 院 公 安信 息 系 副教授 。“ 辽 宁 省 高 等 学 校 杰出 青 
年 学 者 成 长 计划 ”入选 者 。 近 年 来 主持 和 参与 了 公安 部 软 科 学 、 辽 宁 省 教育 厅 重 点 实验 室 、 
大 连 市 社会 科学 独立 研究 等 多 个 项 目的 研究 ,发 表 核心 期 刊 论文 10 余 篇 ,其 中 9 篇 被 Ei 
检索 。 

编者 :刘洋 洋 , 女 ,工学 硕士 。 辽 宁 警 察 学 院 公 安信 息 系 计算 机 犯罪 侦查 教研 室 主任 , 副 
教授 , 现 从 事 网 络 犯罪 侦查 及 电子 数据 取证 相关 教学 及 研究 工作 。 主 持 和 参与 公安 部 软 科 
学 、 辽 宁 省 公安 厅 软 科学 、 大 连 市 社会 科学 等 多 类 项 目 研究 .发表 专业 相关 论文 多 篇 。 

编者 : 李 小 恺 , 男 , 法 学 博士 ,美国 加 州 大 学 戴 维 斯 分 校 访问 学 者 。 现 为 中 国政 法 大 学 刑 
事 司 法 学 院 侦查 学 研究 所 讲师 ,主要 研究 证 据 法 、 物 证 技术 和 司法 鉴定 。 在 《法 学 杂志 闪 证 
据 科 学 中 国 司法 欠 西 北大 学 学 报 ) 等 期 刊 以 及 “证 据 科 学 国际 研讨 会 ”等 学 术 会 议 上 发 表 
论文 10 余 篇 ,出 版 专著 (证 据 法 视野 下 的 谎言 》 参 与 (中 华人 民 共 和 国 刑事 诉讼 法 释义 及 适 
用 指南 兴 司 法 鉴定 质量 控制 法 律 制度 研究 》 等 多 部 专著 的 编写 和 翻译 , 主持 及 参与 多 项 科研 
项 目 。 

编者 : 刘 煜 杰 , 男 ,硕士 学 位 。 南 京 市 公安 局 网 络 安全 保卫 支队 第 九 大 队 副 大 队长 。 荣 
获 江 苏 省 公安 厅 “ 全 省 公安 机 关 执 法 示范 岗位 ”, 南 京 市 公安 局 “网 安 和 科技 标兵 ”石城 百名 
杰出 青年 卫士 ”称号 ; 先后 荣获 个 人 三 等 功 4 次 。 先 后 参与 .指挥 数 十 起 大 要 案件 侦破 
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编者 : 李 锋 , 男 , 硕 士 。 工 作 于 江苏 省 公安 厅 网 络 安全 保卫 总 队 案件 查处 科 , 负 责 网 络 犯 
罪案 件 查 处 和 电子 数据 取证 工作 ,牵头 侦破 了 10 余 起 公安 部 督办 特大 网 络 犯罪 案件 ,实战 
经 验 丰 富 。 

编者 : 刘 琨 , 男 。 成 都 市 公安 局 网 络 安全 保卫 支队 七 大 队 大 队长 ,公安 部 网 络 侦查 专家 。 
曾 获 四 川 省 科技 进步 三 等 奖 1 项 .四 川 省 公安 厅 科技 进步 二 等 奖 1 项 .四 川 省 基层 技术 革新 
奖 三 等 奖 1 项 。 参 与 多 起 大 要 案 的 侦办 工作 ,多 次 立功 受奖 。 

编者 : 吕 必 , 男 。 大 连 市 公安 局 网 络 安全 保卫 支队 电子 物证 检验 鉴定 实验 室 副 主 任 ， 
量 负责 人 。 参 与 多 起 大 案 要 案 的 侦办 工作 ,实战 经 验 丰富 。 

本 书 的 编写 工作 分 工 如 下 : 刘 浩 阳 负 责 全 书 的 架构 设计 和 内 容 统 校 , 韩 马 剑 、 张 宏大 、 董 
健 、 段 涵 瑞 对 本 书 进行 了 认真 细致 的 校 审 。 其 中 , 刘 浩 阳 编写 了 第 1 章 、. 第 2 章 .7.1 节 .7.2 
节 、7.4 节 .7.7 节 .7.8 节 .7.12 节 .第 9 章 ; 董 健 编写 了 第 15 章 ,第 16 章 ; 张 宏 大 编写 了 第 
5 章 ; 韩 马 剑 编写 了 7.9 节 ,第 8 章 ; 段 涵 瑞 编写 了 第 6 章 ; 侯 钧 雷 编写 了 第 3 章 ; 张 侈 编 
写 了 7.11 节 ,第 14 章 ; 程 者 编写 了 7.5 节 、7.6 节 、 第 10 章 ; 童 泳 编 写 了 7. 10 节 、 第 11 章 ; 
喻 海松 编写 了 第 3 章 ; 卢 容 编写 了 4.5~4.9 节 ; 刘洋 洋 编写 了 4.1~4.4 节 ; 李 小 恺 编写 
了 第 3 章 ; 刘 煜 杰 编 写 了 7. 2 节 、7.4 节 、 第 13 章 ; 李 锋 编写 了 第 12 章 ; 刘 琨 编写 了 7.2 
节 、7. 3 节 ; 昌 毅 编写 了 第 17 章 。 

网 络 犯罪 侦查 涉及 的 方面 多 ,技术 发 展 日 新 月 异 。 与 (电子 数据 取证 ) 一 书 深耕 10 年 相 
比 ,本 书 的 广度 和 深度 远 超 前 者 ,作者 团队 在 工作 之 余 笔 耕 不 辍 ,十 易 其 稿 , 耗 时 一 年 ,但 仍 
感觉 远 不 能 全 面 ` 深 入 地 展现 网 络 犯罪 侦查 的 全 部 知识 ,更 难免 有 丝 漏 之 处 。 在 此 ,诚挚 欢 
迎 读者 提出 宝贵 意见 ,意见 请 发 送 到 wlfzzc2016@163. com。 

感谢 公安 部 网 络 安全 保卫 局 .大 连 市 公安 局 ,沈阳 市 公安 局 ,河北 省 公安 厅 、 新 疆 维吾尔 
自治 区 公安 厅 、 天 津 市 公安 局 、 安 徽 省 公安 厅 、 公 安 部 第 三 研究 所 等 部 门 对 本 书 的 支持 ; 感 
谢 帮助 我 们 成 长 的 各 位 家 人 、 领 导 和 战友 ; 感谢 诸位 专家 学 者 为 此 书 提供 的 宝贵 资料 和 意 
见 、 建 议 。 

本 书 不 包含 任何 涉 密 内 容 , 使 用 的 技术 均 为 公开 技术 ,使 用 的 案例 均 为 公开 或 脱 密 案 
例 , 使 用 的 工具 均 为 商业 版 或 者 开源 免费 版 本 。 

并 以 此 书 向 恪守 职责 ,为 网 络 安全 献 出 汗水 、 青 春 , 力 至 生命 的 公安 机 关 网 络 安全 保卫 
部 门 的 干警 以 及 其 他 侦查 机 关 的 执法 者 致敬 ! 

着 以 此 书 献 给 最 亲爱 的 爸爸 1! 
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刘 浩 阳 
2016 年 3 月 23 日 
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本 章 学 习 目 标 

。 网 络 犯 罪 的 历史 

。 网 络 犯 罪 的 现状 和 发 展 趋势 
。 网 络 犯罪 的 概念 

。 网 络 犯 罪 的 构成 

。 网 络 犯罪 的 类 型 

。 网 络 犯罪 的 特点 


根据 国际 电信 联盟 D(ITU) 的 数据 ,2015 年 全 球 网 民 突 破 30 亿 , 发 达 国 家 已 经 实现 
了 网 络 的 全 面 覆 盖 ,而 手机 的 普及 使 得 新 兴 市 场 国 家 的 移动 网 络 普及 率 迅 速 提高 。 我 国 
的 互联 网 普及 率 位 居 世 界 前 列 ,根据 中 国 互联 网 信息 中 心 (CNNIC®) 的 统计 报告 ,截至 
2016 年 6 月 ,我 国 网 民 规模 达到 7. 10 亿 , 互 联网 人 口 普及 率 51. 17%, 手 机 网 民 规模 
6.56 亿 。 网 络 正 以 其 难以 置信 的 速度 演化 发 展 ,影响 着 社会 生活 的 方方面面 ,推动 着 我 
国 现代 化 的 发 展 。 

网 络 发 展 的 重心 从 “广泛 "逐渐 转向 “深入 ”, 对 居民 生活 全 方位 渗透 程度 迅速 增强 。 
2016 年 上 半年 ,中 国 网 民 的 人 均 周 上 网 时 长 达 26.5 小 时 。 除 了 传统 的 消费 、 娱 乐 以 外 ， 
在 移动 金融 、 移 动 医疗 等 新 兴 领 域 , 网 络 应 用 也 得 到 了 快速 发 展 ,社会 生活 全 面 “网 
络 化 ”。 

网 络 在 给 予 了 人 们 方便 和 快捷 的 同时 .也 带 来 了 一 系列 的 网 络 犯罪 问题 。 网 络 犯 罪 的 
原因 复杂 、 类 型 多 样 . 危 害 广 泛 , 不 但 侵害 公民 权益 ,而 且 对 社会 运行 ,经济 发 展 造成 了 巨大 
的 威胁 。 目 前 ,对 网 络 犯罪 的 侦查 打击 还 处 于 摸索 阶段 ,网 络 犯罪 的 复杂 性 使 得 网 络 犯罪 侦 
查 人 员 只 有 了 人 解 网 络 犯罪 的 “ 因 ”, 才 能 得 到 网 络 犯 罪 打击 的 “ 果 ”。 
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2 网 络 犯罪 侦查 


1.1 网 络 犯罪 的 历史 


网 络 犯罪 CCyber Crime) 是 伴随 着 网 络 发 展 , 经 过 演化 而 逐渐 分 类 形成 规模 的 。 在 网 
络 尚 不 普及 的 时 代 , 针 对 计算 机 设备 的 犯罪 活动 就 已 出 现 。 就 犯罪 手法 和 目的 而 言 , 计 算 机 
犯罪 (Computer Crime) 与 网 络 犯罪 如 出 一 驾 , 因 此 可 以 认为 计算 机 犯罪 是 网 络 犯罪 的 锥 
形 , 同 样 具 有 研究 意义 。 另 外 ,网 络 安全 事件 与 网 络 犯罪 共生 共 荣 ,二 者 的 区 别 取 决 于 是 否 
有 法 律 的 约束 。 

计算 机 犯罪 始 于 20 世纪 60 年 代 ,70 年 代 迅 速 增长 ,80 年 代 形 成 威胁 。 早 期 的 计算 机 
设备 ,庞大 昂贵 ,只 能 单机 使 用 且 无 法 联网 ,往往 是 犯罪 目标 而 不 是 犯罪 工具 。 在 这 一 期 间 ， 
主要 面 对 的 威胁 是 心怀 不 满 的 雇员 ,破坏 方式 往往 是 通过 物理 破坏 以 损坏 财产 ,例如 ,出 于 
报复 砸 毁 计 算 机 设备 。 随 着 个 人 计算 机 (Personal Computer, PCD) 的 诞生 ,计算 机 设备 能 
够 成 为 普通 人 使 用 的 工具 ,涉及 计算 机 设备 的 犯罪 逐渐 增多 。 但 是 总 体 上 看 ,利用 单独 的 计 
算 机 设备 进行 犯罪 活动 ,其 破坏 性 是 有 限 的 。 网 络 的 出 现 , 使 得 计算 机 设备 能 够 连接 成 网 ， 
数据 的 交互 信息 的 交流 成 为 可 能 。 网 络 犯罪 如 雨后春笋 ,其 形式 层出不穷 ,危害 力 成 倍 
增长 。 

1969 年 ,美国 国防 部 研究 计划 署 建立 了 ARPANET 网 络 ( 阿 帕 网 ) ,后 将 美国 西南 部 的 
利 福 尼 亚 大 学 洛杉矶 分 校 . 斯 坦 福 大 学 研究 学 院 、 加 利 福 尼 亚 大 学 和 犹他 州 大 学 的 四 台 
要 的 计算 机 连接 起 来 ,于 1969 年 12 月 开始 联机 ,互联 网 雏形 出 现 。 随 后 这 种 可 以 互联 互通 
的 网 络 走 上 了 迅速 发 展 的 道路 。 不 良 动机 的 人 借鉴 了 入 侵 早 期 程控 电话 系统 的 经 验 , 开 始 
对 互联 网 进行 人 侵 和 破坏 ,网 络 犯罪 开始 进入 发 展 时 期 。 

20 世纪 90 年 代 之 前 ,由 于 计算 机 设备 非 普通 人 能 够 拥有 ,除了 少数 恶意 犯罪 ,大 部 分 
的 危害 后 果 都 是 无 意 或 者 恶作剧 形式 的 违法 行为 ,例如 行为 人 为 炫 炮 技术 ,攻击 服务 器 或 他 
人 计算 机 , 留 下 "我 来 过 了 ”你 的 计算 机 已 经 不 安全 了 ”等 信息 ,对 被 害 人 进行 调侃 。 类 似 的 
网 络 入 侵 行为 ,往往 不 会 造成 受害 者 的 实际 损失 ,也 无 从 谈 起 法 律 制约 。1988 年 ,22 岁 的 康 
奈 尔 大 学 研究 生 风 伯 特 ， 英里 斯 (Robert T Morris Jr) 向 网 上 传送 了 一 种 专 为 攻击 UNIX 
系统 缺陷 而 设计 的 、 名 为 “蠕虫 "(Worm) 的 病毒 ,蠕虫 造成 了 6000 个 系统 的 瘫痪 ,估计 损失 
为 200 万 一 6000 万 美元 。 尽 管 贡 里 斯 声称 他 是 无 意 的 ,但 是 “ 莫 里 斯 事件 ”向 社会 提出 了 一 
个 严肃 的 问题 : 随 着 社会 对 计算 机 网 络 的 依赖 日 益 加 深 , 人 类 是 否 可 能 蒙受 更 大 的 风险 ? 
由 于 尚 无 法 律 对 此 进行 规定 , 莫 里 斯 没有 承担 责任 ,但 是 对 于 网 络 紧 急事 件 的 应 急 响 应 部 
门 一 一 计算 机 应 急 小 组 (CERT) 成 立 了 。 

同一 时 期 的 两 个 事件 .已 经 预示 了 未 来 网 络 面 对 的 危险 和 困境 。1982 年 , 凯 文 . 鲍 尔 
森 (Kevin Poulsen) 被 指控 未 经 许可 访问 ARPANET 网 络 , 这 种 未 经 授权 的 访问 是 网 络 犯 


过 


加 源 自 于 1981 年 IBM 的 第 一 部 桌 上 型 计算 机 型 号 PC。 
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罪 的 必要 环节 。1994 年 , 弗 拉 基 米 尔 ， 莱 文 (Vladimir Levin) 因 为 通过 网 络 从 花旗 银行 
(CCitibank) 盗 窃 了 120 万 美元 而 被 判 人 狱 3 年 。 这 也 导致 花旗 银行 雇用 了 Stephen R. Katz 
作为 第 一 个 首席 安全 官 (Chief Information Security Officer,CISO) ,网 络 安全 行业 开始 建立 
发 展 。1986 年 夏 ,美国 天 文学 家 克利 夫 。 斯 多 (Cliff Stoll) 在 他 工作 的 劳伦斯 伯克利 实验 室 
(LBL) 的 计算 机 系统 上 ,通过 一 个 区 区 75 美 分 的 会 计 错 误 , 发 现 “ 黑 客 ”Markus Hess 在 克 
格 勃 指使 下 试图 进入 美国 军事 计算 机 网 络 刺 探 机 密 情 报 .《 纽 约 时 报 》 在 头 版 中 披露 了 此 
事 。“ 黑 客 " 这 个 亦 黑 亦 白 的 名 词 , 成 为 网 络 犯罪 的 一 个 标志 , 凯 文 。 米 特 尼克 (Kevin 
Mitnick) 位 列 联邦 调查 局 十 大 通缉 犯 之 一 。 他 非法 冯 和 "北美 空中 防务 指挥 系统 ”和 DEC 
等 诸多 大 公司 的 计算 机 系统 ,盗窃 了 20 000 个 信用 卡号 码 并 复制 了 机 密 文 件 。 米 特 尼克 在 
1995 年 被 捕 , 他 是 网 络 犯 罪 史上 的 标志 性 人 物 。 

20 世纪 90 年 代 , 对 于 金钱 的 贪 禁 ,促进 了 针对 金融 系统 的 网 络 犯罪 活动 快速 增长 。 典 
型 的 是 信用 卡 诈骗 ,信用 卡 网 上 支付 在 方便 支付 的 同时 ,也 极 大 地 增加 了 被 冒 用 和 复制 的 概 
率 。1995 年 ,美国 的 信用 卡 诈骗 的 损失 就 超过 了 16. 3 亿美 元 。 这 一 时 期 ,更 多 的 是 人 为 制 
造 的 病毒 (Virus) ,其 目的 是 破坏 数据 ,并 显示 自己 的 能 力 。 

21 世纪 ,网 络 的 速度 逐渐 提高 ,带宽 的 提高 使 得 数据 传播 速度 大 幅 增加 。 网 络 犯罪 出 
现 了 新 的 发 展 方向 ,由 显示 个 人 能 力 转向 获取 经 济 收益 ,2000 年 2 月 的 3 天 时 间 内 ,黑客 组 
织 对 全 球 顶 级 网 站 一 一 雅虎 (YAHOO) .亚马逊 (Amazon) .电子 港湾 .CNN 进行 了 新 型 的 
“拒绝 服务 ”(Distributed Denial of Service.DDoS) 攻 击 , 即 通过 发 送 大 量 数据 包 阻 塞 网 站 的 
服务 器 ,使 其 不 能 提供 正常 服务 ,其 后 DDoS 被 多 次 用 于 对 网 站 进行 勒索 ,不 少 网 站 出 于 保 
持 服 务 的 目的 被 迫 向 黑客 支付 赎金 。2000 年 6 月 ,黑客 对 雅虎 (YAHOO) 进 行 了 攻击 , 盗 
窍 了 用 户 信息 , 用 户 信息 作为 一 种 特殊 的 商品 ,开始 具有 价值 ,并 成 为 网 络 犯罪 的 一 种 资源 。 
同时 , 另 一 种 资源 ,用 于 对 网 站 远程 控制 的 工具 一 一 木马 (Trojan) 也 开始 流行 。2001 年 , 国 
产 远程 控制 工具 一 一 “ 灰 锣 子 ” 出 现 ,截至 2012 年 已 经 有 近 20 万 个 变种 , 占 全 球 后 门 总 数 的 
15% 以 上 。 

黑客 .病毒 .木马 已 经 成 为 网 络 犯罪 的 标志 ,并 将 一 直 伴 随 着 网 络 犯罪 发 展 。 网 络 技术 
的 平民 化 ,也 使 得 更 多 的 犯罪 行为 出 现 。 


1.2 网 络 犯罪 的 现状 


经 过 20 年 的 发 展 ,互联 网 已 经 越 来 越 深 地 融入 了 人 们 的 生活 、 工 作 、 娱 乐 ,深刻 地 改变 
了 社会 。 与 此 同时 ,开放 性 、 匿 名 性 和 虚拟 性 的 特点 使 得 互联 网 空间 成 为 了 犯罪 滋长 的 沃 
土 。 当 前 , 随 着 全 球 经 济 \ 政 治 生活 越 来 越 依赖 网 络 , 网 络 犯罪 逐年 高 发 ,其 形式 多 样 且 破坏 
力 惊 人 。 对 金钱 的 贪 禁 是 网 络 犯罪 高 发 的 根源 。 国 外 数据 表明 ,网 络 犯罪 分 子 的 投资 回报 
率 高 达 1425% ,他 们 的 主要 开销 是 购买 漏洞 利用 工具 和 勒索 软件 工具 ,每 投资 5900 美元 可 
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以 获得 84 100 美元 的 回报 了 ,这 驱动 着 网 络 犯 罪 快速 增长 。 

网 络 犯 罪 已 经 从 最 初 的 仅 是 针对 普通 人 群 的 犯罪 ,发 展 为 针对 社会 经 济 、 政 治 稳定 、 国 
家 安全 等 多 个 领域 的 犯罪 ; 从 单机 单 人 犯罪 ,发 展 到 现在 的 网 络 有 组 织 . 有 针对 性 犯罪 ,其 
犯罪 手段 和 危害 后 果 远 超 传统 犯罪 。 木 马 僵尸 网 络 .钓鱼 网 站 等 传统 网 络 安全 威胁 有 增 无 
减 ,分 布 式 拒绝 服务 (DDoS 攻击 ) 、 高 级 持续 威胁 (APT 攻击 ) 等 新 型 网 络 攻击 愈演愈烈 , 针 
对 公民 隐私 、 金 融 服 务 的 “黑色 产业 链 ? 规 模 化 。 因 此 ,打击 网 络 犯罪 ,是 每 个 国家 保持 经 济 
发 展 , 社 会 稳定 的 不 可 分 割 的 一 部 分 。 

当前 ,网 络 犯罪 对 全 球 各 国 的 经 济 和 社会 发 展 造成 巨大 的 负面 影响 ,每 年 对 全 球 经 
济 造成 损失 超过 4000 亿美 元 。 美 国联 邦 调 查 局 (FBI) 网 络 犯罪 投诉 中 心 (IC3@) 最 新 发 
布 的 一 份 报告 显示 ,美国 2014 年 网 络 诈骗 的 受害 者 损失 预 估 超 过 了 8 亿美 元 。 据 卡巴 斯 
基 的 一 份 报告 ,两 年 内 ,黑客 从 美德 、 俄 ,中 ,乌克兰 等 国家 的 100 多 家 金融 机 构 盗 窃 金 
额 高 达 10 亿美 元 。2016 年 2 月 ,纽约 联邦 准备 银行 (New York Fed) 遭 到 黑客 攻击 ,导致 
孟加拉 中 央 银 行 存放 在 该 行 账户 的 约 8000 万 美元 被 盗 。 

研究 机 构 TechSci 认为 网 络 犯 罪 最 多 的 目标 在 银行 和 金融 服务 领域 ,其 次 是 IT 和 电 
言 、 国 防 、 能 源 。 大 多 数 网 络 犯罪 事件 没有 公布 ,由 于 考虑 到 企业 声誉 以 及 后 续 法 律 行动 , 极 
少 有 公司 披露 自身 损失 ,所 以 大 量 的 网 络 犯罪 行为 被 掩盖 ,未 被 曝光 。 

目前 ,中 国 的 网 络 犯罪 活动 逐渐 趋 于 专业 化 规模 化 和 产业 化 ,已 经 成 为 危害 虚拟 社会 
安全 、 现 实 社会 稳定 的 重要 因素 。 根 据 公 安 部 统计 ,2014 年 中 国 网 络 犯罪 危害 最 大 的 类 型 
依次 为 网 络 诈骗 .网 络 销售 假冒 伪劣 及 违禁 品 、 网 络 窃取 泄露 个 人 信息 、 网 络 传播 谣言 、 网 络 
色情 、 网 络 攻击 、 网 络 赌博 、 网 络 侵犯 知识 产权 、 网 络 敲 诈 和 网 络 恺 怖 主义 。2014 年 ,网 络 和 
电信 诈骗 给 人 民 和 群众 造成 的 损失 超过 100 亿 元 。 

作为 网 络 犯罪 的 打击 主体 ,政府 起 到 更 大 的 主导 作用 。2014 年 2 月 ,美国 总 统 奥 巴 
马 宣布 启动 (网 络 安全 框架 》。 在 美国 的 示范 效应 作用 下 ,先后 有 50 余 个 国家 制定 并 公 
布 了 国家 网 络 安全 战略 。 加 拿 大 在 《全面 数字 化 国家 计划 ) 中 提出 包括 加 强 网 络 安全 防 
御 能 力 在 内 的 39 项 新 举措 ; 日 本 在 (网 络 安全 基本 法 案 ) 中 规划 设立 统筹 网 络 安全 事务 
的 “网 络 安全 战略 总 部 ”。 与 此 同时 ,围绕 网 络 空间 的 国际 竞争 与 合作 也 愈演愈烈 ,欧盟 
委员 会 在 2014 年 2 月 的 公报 中 强调 网 络 空间 治理 中 的 政府 作用 ;, 中 日 韩 建立 网 络 安全 
事务 磋商 机 制 ,并 举行 了 第 一 次 会 议 , 探 讨 共同 打击 网 络 犯罪 和 网 络 恐 怖 主义 ,在 互联 网 
应 急 响 应 方面 建立 合作 。 


D http://www. trustwave. com 
回 http://www. ic3. gov 
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1.3 网 络 犯罪 的 发 展 趋势 


未 来 的 网 络 犯罪 形式 更 加 多 样 , 危 害 更 加 严重 ,会 渗透 入社 会 的 各 个 维度 。 随 着 网 络 逐 
步 地 渗透 和 我 们 的 日 常生 活 ,网 络 犯罪 侵犯 的 领域 将 继续 扩展 ,规模 将 难以 想象 。 

犯罪 领域 中 ,智能 家 居 、 工 业 控制 系统 也、 车 联网 等 新 兴 技术 产业 将 面临 严峻 的 网 络 安 
全 威胁 。 针 对 大 数据 、 云 存储 的 犯罪 活动 ,由 于 数据 分 散 且 形式 多 样 ,犯罪 获 利 大 、 隐 蔽 性 
强 , 将 成 为 侦查 取证 的 难点 。 利 用 无 人 机 和 智能 终端 的 恺 怖 主义 也 会 蔓延 ,可 穿戴 设备 、 智 
能 医疗 设备 ,在 被 入 侵 后 甚至 可 能 危害 我 们 的 生命 ,这 将 彻底 颠覆 网 络 犯罪 只 能 谋 财 不 能 害 
命 的 观念 。 

网 络 犯罪 的 规模 ,将 从 单独 犯罪 转向 有 组 织 犯罪 。 单 独 的 犯罪 活动 ,也 许 只 是 一 种 爱 
好 ,但 是 有 组 织 的 犯罪 则 是 作为 职业 和 生活 方式 。 未 来 的 网 络 犯罪 会 有 以 下 方向 : 

(1) 由 黑客 组 织 建立 的 “僵尸 网 络 ? 所 控制 的 计算 机 网 络 设 备 被 出 售 或 者 出 租 ,以 用 于 
各 种 各 样 的 非法 目的 ,包括 垃圾 邮件 ,拒绝 服务 和 金融 犯罪 的 木马 制作 的 传播 。 

(2) 黑客 工具 和 0day 漏洞 被 商业 化 ,可 以 被 公开 或 者 私下 贩卖 ,并 提供 售后 服务 。 

(3) 公民 隐私 成 为 商品 ,针对 网 站 攻击 并 窃取 用 户 信 息 ( 爆 库 和 拖 库 ) 以 供出 售 成 为 产业 。 

(4) 针对 工业 控制 系统 (SCADA) 的 攻击 将 更 为 普遍 ,对 于 国家 安全 和 国民 经 济 的 影响 
将 从 虚拟 层面 上 升 到 现实 世界 ,例如 电站 关闭 .ATM 系统 月 省 。 

(5) 网 络 动 持 活 动 越发 独 狐 。 针 对 域名 的 动 持 会 被 错误 地 解析 到 其 他 IP 地 址 , 轻 者 个 
人 信息 泄露 , 重 者 被 植 人 木马 病毒 ,数据 被 盗 取 。 而 对 于 网 络 数据 的 劫持 ,除了 极 少 数 技术 
高 超 的 黑客 ,更 多 的 是 垄断 行业 ,才能 能 够 完成 这 种 劫持 活动 。 这 种 行为 会 在 用 户 传输 的 数 
据 中 强行 插入 弹 窗 或 者 嵌入 式 广告 ,甚至 是 木马 程序 。 这 个 过 程 是 用 户 无 法 察觉 的 ,完全 脱 
离 监管 。 网 络 劫持 会 造成 整个 互联 网 的 服务 瘫痪 。 

(6) 网 络 *“ 地 下 黑市 ?的 蓬勃 发 展 。 更 多 的 网 络 犯罪 分 子 依托 网 络 联合 起 来 ,从 事 着 各 
种 各 样 的 网 络 犯罪 活动 ,例如 ,网 络 诈骗 组 织 , 其 成 员 大 多 未 曾 谋面 但 联系 紧密 ,其 诈骗 的 效 
率 令 人 叹为观止 。 

人 类 的 生活 在 越 来 越 依赖 网 络 的 同时 ,也 会 笼罩 在 网 络 犯罪 的 威胁 之 下 ,而 这 种 威胁 是 
难以 察觉 的 ,危害 巨大 而 深远 。 


1.4 网 络 犯罪 的 概念 


《中 华人 民 共 和 国 刑法 ) 第 十 三 条 规定 :“ 一 切 危 害 国家 主权 、 领 土 完 整 和 安全 ,分 裂 国 
家 、 颠 覆 人 民 民 主 专政 的 政权 和 推翻 社会 主义 制度 ,破坏 社会 秩序 和 经 济 秩序 ,侵犯 国有 财 


四 主要 指 SCADA(Supervisory Control and Data Acquisition) 系统 。 


号 
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产 或 者 劳动 群众 集体 所 有 的 财产 ,侵犯 公民 私人 所 有 的 财产 ,侵犯 公民 的 人 身 权利 、 民 主权 
利和 其 他 权利 ,以 及 其 他 危害 社会 的 行为 ,依照 法 律 应 当 受 刑罚 处 罚 的 ,都 是 犯罪 ”但 是 依 
据 这 个 对 于 网 络 犯罪 进行 定义 无 疑 是 很 困难 的 。2011 年 , 德 巴 拉 提 。… 哈 尔 德 (Dr. Debarati 
Halder) 和 K. 杰 生 (Dr.K.Jaishankar) 将 网 络 犯罪 定义 为 “对 个 人 或 团体 有 犯罪 动机 ,利用 
现代 通信 网 络 和 手机 故意 伤害 被 害 人 的 声誉 .造成 身体 或 心理 伤害 ”。 

我 国学 术 界 对 网 络 犯罪 的 界定 存在 广义 说 和 狭义 说 两 种 ,这 与 我 国 (刑法 ) 一 向 以 犯罪 
客体 作为 划分 罪名 的 标准 有 很 大 的 关系 。 狭 义 的 网 络 犯罪 是 传统 意义 上 的 网 络 犯罪 , 仅 是 
指 以 网 络 为 侵害 对 象 实施 的 犯罪 行为 。 狭 义 的 网 络 犯罪 对 应 我 国 ( 刑 法 ) 第 二 百 八 十 五 条 和 
第 二 百 八 十 六 条 规定 的 非法 侵入 计算 机 信息 系统 罪 和 破坏 计算 机 信息 系统 罪 。 因 为 我 国 
《刑法 在 订立 上 述 条 款 时 ,网 络 还 未 普及 ,所 以 更 趋 近 计算 机 犯罪 的 定义 ,但 是 在 (中 华人 民 
共和 国 刑法 修正 案 ( 九 )》( 以 下 简称 (刑法 修正 案 ( 九 )) 或 ( 修 九 )) 新 增 的 规定 ,已 经 能 够 代表 
狭义 的 网 络 犯罪 。 

广义 说 则 外 延 了 网 络 犯罪 的 狭义 说 ,由 于 网 络 已 渗透 到 人 们 生活 的 方方面面 ,其 被 犯罪 
分 子 利用 进行 犯罪 活动 的 表现 形形色色 ,可 以 说 (刑法 ) 分 则 中 除了 杀人 、 抢 动 、 强 奸 等 主要 
犯罪 行为 需要 两 相 面 对 的 罪行 以 外 , 绝 大 多 数 都 可 以 通过 网 络 进行 。 广 义 说 将 利用 计算 机 
网 络 实施 的 犯罪 行为 都 归于 网 络 犯罪 行为 中 ,例如 网 络 诈骗 ,网 络 盗窃 。 但 是 并 非 以 网 络 为 
犯罪 工具 的 行为 就 是 网 络 犯罪 ,例如 存在 以 破坏 性 手段 攻击 网 络 硬件 设施 ,如 损坏 路 由 器 、 
交换 机 等 中 继 设备 ,显然 不 宜 作为 网 络 犯罪 来 看 待 ,应 当 属于 侵 财 犯 罪 。 广 义 说 在 (刑法) 二 
百 八 十 五 条 和 二 百 八 十 六 条 的 基础 上 ,增加 二 百 八 十 七 条 等 条 款 。 

综合 以 上 的 观点 ,网 络 犯罪 的 概念 可 以 总 结 为 "行为 主体 以 计算 机 或 网 络 为 犯罪 工具 或 
犯罪 对 象 ,故意 实施 的 针对 计算 机 网 络 安全 的 或 者 利用 计算 机 网 络 侵犯 公民 权利 ,触犯 有 关 
法 律 规范 的 行为 ”。 可 以 认为 网 络 犯罪 的 概念 ,涵盖 了 计算 机 犯罪 。 


1.5 网 络 犯罪 的 构成 


我 国 刑法 学 中 的 犯罪 构成 要 件 包 括 犯罪 主体 、 犯 罪 客 体 、 犯 罪 客 观 方面 ,犯罪 主观 方面 
四 要 件 。 网 络 犯罪 的 构成 也 不 例外 ,其 中 犯罪 主体 是 一 般 主体 ,犯罪 客体 是 复杂 客体 ,主观 
方面 表现 为 故意 ,在 客观 方面 ,其 实行 的 行为 具有 特殊 性 。 网 络 中 的 虚拟 人 如 同 现实 社会 中 
物理 人 的 镜像 ,也 具有 现实 社会 物理 人 的 多 种 特征 ,因此 网 络 犯 罪 的 构成 具备 了 多 种 犯罪 活 
动 的 构成 因素 ,具有 相当 的 复杂 性 。 


1.5.1 网 络 犯罪 的 主体 


网 络 犯罪 的 主体 可 以 是 自然 人 ,也 可 以 是 法 人 或 者 组 织 。 以 往 认为 网 络 犯罪 的 主体 应 
当 具 有 高 超 的 计算 机 知识 ,由 于 黑客 工具 的 普及 ,网 络 犯罪 的 门槛 大 大 降低 ,具备 一 般 计算 
机 知识 的 普通 人 也 可 以 进行 网 络 犯罪 活动 ,网 络 犯罪 的 低龄 化 也 导致 刑事 责任 被 减轻 或 者 
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不 予 处 罚 , 从 而 影响 网 络 犯 罪 打击 的 效果 。 

网 络 犯罪 发 展 的 早期 ,网 络 犯罪 的 主体 一 般 是 个 体 的 行为 人 ,不 具有 组 织 性 。 但 是 在 网 
络 高 度 发 达 的 今天 ,有 组 织 的 网 络 犯罪 已 经 出 现 ,有 的 依托 网 络 形成 结构 松散 、 关 系 紧密 的 
组 织 , 从 事 黑客 人 侵 等 犯罪 活动 。 有 的 是 为 了 某 个 目的 ,由 实体 组 织 统一 管理 ,进行 网 络 犯 
罪 活动 ,例如 网 络 诈骗 。 因 此 在 《刑法 修正 案 ( 九 )》 中 ,将 网 络 犯罪 的 主体 增加 了 ”单位 ”。 


1.5.2 网 络 犯罪 的 客体 


网 络 犯罪 的 客体 是 为 刑法 所 保护 的 而 为 网 络 犯罪 所 侵犯 的 一 切 社会 关系 。 确 定 了 犯罪 
客体 ,在 很 大 程度 上 就 能 确定 犯 的 是 什么 罪 及 其 危害 程度 。 如 果 行 为 人 侵害 的 不 是 刑事 法 
律 保 护 的 社会 关系 ,而 是 民事 法 律 或 行政 法 律 保护 的 社会 关系 ,那么 这 种 行为 不 能 构成 犯 
罪 , 行 为 人 也 不 负 刑事 责任 ,而 负 民事 责任 或 行政 责任 。 

网 络 犯罪 的 侵犯 客体 形式 多 样 , 既 可 以 是 物理 的 ,也 可 以 是 虚拟 的 ,有 可 能 是 通过 网 络 
空间 联系 的 人 和 组 织 ,也 有 可 能 是 网 络 空间 内 存储 的 数据 ,还 有 可 能 是 真实 存在 的 物 , 例 如 
财产 。 网 络 犯罪 的 行为 ,有 的 侵入 ,控制 计算 机 信息 系统 ,非法 获取 计算 机 系统 内 网 络 的 数 
据 ; 有 的 破坏 计算 机 信息 系统 ,有 的 则 危害 国家 和 公众 的 生命 和 财产 安全 、 人 身 安全 。 所 以 
网 络 犯罪 侵犯 的 客体 是 复杂 多 样 的 。 


1.5.3 网 络 犯 罪 的 主观 要 件 


犯罪 主观 方面 亦 称 犯罪 主观 要 件 或 者 罪过 ,是 指 行为 人 对 自己 的 危害 社会 的 行为 及 其 
危害 社会 的 结果 所 持 的 故意 或 者 过 失 的 心理 态度 。 人 在 实施 犯罪 时 的 心理 状态 是 十 分 复杂 
的 ,概括 起 来 有 故意 和 过 失 这 两 种 基本 形式 ,以 及 犯罪 目的 和 犯罪 动机 这 两 种 心理 要 素 。 网 
络 犯罪 的 主观 表现 为 故意 ,网 络 犯罪 的 目的 ,是 指 行为 人 希望 通过 自己 实施 的 网 络 犯罪 行为 
达到 占有 财产 ,侵犯 他 人 权利 的 心理 。 这 种 心理 对 于 犯罪 目标 是 直接 指向 的 ,目的 明确 的 。 
犯罪 动机 产生 于 犯罪 目的 之 前 ,是 刺激 行为 人 实施 网 络 犯罪 活动 以 达到 犯罪 目的 的 内 心 起 
因 , 网 络 犯罪 的 情节 是 否 严重 ,主要 取决 于 犯罪 动机 。 犯 罪 动机 越 强 烈 .情节 越 严 重 恶劣 人 0。 

由 于 网 络 犯罪 都 要 利用 计算 机 和 网 络 进 行 ,需要 通过 操作 电子 设备 、 利 用 技术 手段 非法 
获取 权限 或 者 数据 。 因 此 行为 人 都 具 主 动 倾向 ,显示 出 极 强 的 主观 故意 。 例 如 利用 计算 机 
信息 网 络 实施 危害 社会 的 行为 ,行为 人 需要 通过 入 侵 获得 目标 系统 的 权限 ,以 达到 资 窍 数 
据 \ 破 坏 网 络 管理 秩序 的 目的 。 


1.5.4 网 络 犯 罪 的 客观 要 件 


犯罪 客观 方面 是 指 ( 中 华人 民 共 和 国 刑法 》( 以 下 简称 (刑法 》)) 规 定 的 ,说 明 行 为 的 社会 
危害 性 ,而 为 成 立 犯罪 所 必须 具备 的 客观 事实 特征 。 它 包括 危害 行为 和 危害 结果 ,犯罪 的 时 


外 在 (中 华人 民 共和 国 刑法 修正 案 ( 九 )) 中 285、286 和 287 条 均 有 “情节 严重 ”的 规定 。 
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间 、 地 点 。 方 法 (手段 ) 也 是 少数 犯罪 的 必 备 条 件 。 犯 罪 客 观 条 件 分 为 两 类 : 一 类 是 必要 条 
件 , 即 任何 犯罪 都 必须 必 备 的 条 件 , 如 危害 行为 ; 另 一 类 是 选择 条 件 , 即 某 些 犯罪 所 必须 必 
备 的 条 件 或 者 是 对 行为 构成 因素 的 特别 要 求 。 前 者 指 危 害 结果 ,后 者 指 包 括 时 间 、 地 点 、 方 
法 (手段 ) 。 

网 络 犯罪 的 客观 方面 ,其 危害 结果 表现 为 违反 有 关 计 算 机 网 络 管理 法 律 法规, 侵入 国 
家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 网 络 系统 ,对 计算 机 网 络 系统 功能 、 数 据 和 应 
用 程序 进行 删除 .修改 ,或 者 破坏 计算 机 网 络 系统 软件 .硬件 设备 等 侵害 计算 机 系统 安全 的 
行为 ,利用 计算 机 网 络 实施 偷窃 、 复 制 、 更 改 或 者 删除 计算 机 信息 ,以 及 利用 计算 机 实施 金融 
诈骗 、 资 究 、 贪 污 , 挪 用 公款 ,窃取 国家 秘密 或 者 其 他 犯罪 的 。 网 络 犯罪 的 广 域 性 导致 的 犯罪 
时 间 不 具有 特定 性 ,在 任何 时 间 都 可 能 产生 犯罪 。 同 时 网 络 犯罪 具有 跨 域 性 的 特点 ,行为 人 
利用 网 络 , 在 世界 的 任何 一 个 地 方 ,从 网 络 上 的 任何 一 个 节点 进入 网 络 , 都 可 以 对 网 络 上 其 
他 任意 一 个 节点 上 的 计算 机 系统 进行 犯罪 活动 。 其 方法 既 可 以 利用 计算 机 网 络 知识 ,又 可 
以 辅 以 传统 犯罪 手法 ,形式 多 样 。 


1.6 网 络 犯罪 的 类 型 


由 于 网 络 犯罪 涉及 的 领域 非常 宽泛 ,因此 网 络 犯罪 的 类 型 众多 ,难以 界定 。 除 了 需要 接 
和 触 到 物理 人 而 实施 犯罪 的 活动 ,例如 杀人 @, 强 奸 , 其 他 的 犯罪 活动 都 可 以 借助 网 络 实施 。 
在 《刑法 兴 含 修正 案 九 ) 的 第 二 百 八 十 五 .二 百 八 十 六 、 二 百 八 十 七 条 中 ,以 大 类 形式 明确 界 
定 了 网 络 犯罪 的 几 大 类 型 。 其 中 ,第 二 百 八 十 五 二 百 八 十 六 条 是 将 网 络 作为 犯罪 目标 进行 
犯罪 活动 的 类 型 .第 二 百 八 十 七 条 是 将 网 络 作为 工具 进行 犯罪 活动 的 类 型 。 结 合 ( 刑 法 》 本 
书 以 “网 络 作为 目标 "和 “网 络 作为 工具 ”两 个 大 类 来 梳理 网 络 犯罪 的 类 型 。 


1.6.1 计算 机 网 络 作 为 目标 


第 二 百 八 十 五 条 和 第 二 百 八 十 六 条 的 犯罪 主体 是 具备 计算 机 网 络 知识 的 个 人 或 者 团 
体 ,犯罪 动机 是 为 获取 政治 或 经 济 利益 ,犯罪 客体 是 网 络 中 的 目标 。 目 前 这 种 犯罪 行为 在 网 
络 上 非常 普遍 。 
。 非法 侵入 计算 机 信息 系统 : 侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 
信息 系统 ; 
。 非 法 获取 计算 机 信息 系统 数据 : 获取 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 
数据 ; 
。 非法 控制 计算 机 信息 系统 : 对 计算 机 信息 系统 实施 非法 控制 ; 
。 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 : 提供 专门 用 于 侵入 、 非 法 控制 计算 


外 在 智能 穿戴 和 智能 汽车 普及 的 将 来 ,网络 直接 “杀人 ”也 会 出 刑 。 
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机 信息 系统 的 程序 工具, 或 者 明知 他 人 实施 侵入 ,非法 控制 计算 机 信息 系统 的 违法 
犯罪 行为 而 为 其 提供 程序 、 工 具 ; 

。 破坏 计算 机 信息 系统 功能 : 对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 干扰 , 造 

成 计算 机 信息 系统 不 能 正常 运行 ; 

。 算 改 计 算 机 信息 系统 数据 : 对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 

程序 进行 删除 、 修 改 、 增 加 的 操作 ; 

。 制作 传播 病毒 木马 : 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正 

常 运行 。 除 此 之 外 ,还 有 进行 拒绝 服务 攻击 (DDoS) 和 散布 恶意 代码 (Malware); 
。 拒 不 履行 信息 网 络 安全 管理 义务 : 网 络 服务 提供 者 不 履行 法 律 \ 行 政法 规 规定 的 信 
息 网 络 安全 管理 义务 ,经 监管 部 门 责令 采取 改正 措施 而 拒 不 改正 。 

这 类 犯罪 活动 ,统称 “危害 计算 机 信息 系统 安全 犯罪 案件 2D”, 俗称 “黑客 攻击 破坏 犯罪 
案件 ”, 虽 然 从 技术 角度 ,这 些 犯 罪行 为 很 相似 ,也 经 常 混淆 在 一 起 ,同时 衍生 了 木马 制作 、 木 
马 贩卖 .肉鸡 控制 和 维护 、 贩 卖 流量 、 网 络 洗钱 等 若干 犯罪 活动 ,但 是 在 法 律 判定 上 ,还 是 应 
当 根 据 《刑事 诉讼 法 ) 将 其 分 别 判 断 ,加 以 阐述 。 


1.6.2 计算 机 网 络 作为 工具 


计算 机 和 网 络 已 经 成 为 社会 生活 中 不 可 或 缺 的 工具 。 相 应 地 ,犯罪 主体 为 个 人 和 团体 ， 
使 用 计算 机 作为 工具 ,使 用 传统 犯罪 方法 ,对 特定 目标 的 犯罪 客体 进行 物理 或 者 心理 上 的 犯 
罪 活动 ,这 类 犯罪 活动 一 直 存 在 ,动机 多 种 多 样 ,例如 ,诈骗 .盗窃 。 利 用 计算 机 网 络 作为 实 
施 犯罪 活动 的 工具 后 ,具有 自动 化 和 匿名 的 特点 ,其 危害 程度 远 远 超过 传统 形式 的 犯罪 活 
动 。 这 类 犯罪 活动 主要 有 利用 网 络 实施 金融 诈骗 盗窃、 贪污 .挪用 公款 、 窃 取 国家 秘密 或 者 
其 他 犯罪 。 设 立 用 于 实施 诈骗 ,传授 犯罪 方法 、 制 作 或 者 销售 违禁 物品 .管制 物品 等 违法 犯 
罪 活动 的 网 站 、 通 讯 群 组 ; 发 布 有 关 制 作 或 者 销售 毒品 ,枪支 .淫秽 物品 等 违禁 物品 .管制 物 
品 或 者 其 他 违法 犯罪 信息 ; 为 实施 诈骗 等 违法 犯罪 活动 发 布 信息 。 大 致 分 类 主要 有 : 

。 网 络 诈骗 一 一 利用 计算 机 网 络 进行 诈骗 (诈骗 主要 活动 在 网 络 上 实施 ); 

。 网 络 盗窃 一 一 利用 计算 机 网 络 进行 盗窃 (盗窃 主要 活动 在 网 络 上 实施 )， 

。 网 络 赌博 一 一 利用 计算 机 网 络 投注 实施 赌博 (赌博 主要 活动 在 网 络 上 实施 )， 

。 网 络 淫秽 一 一 通过 计算 机 网 络 传播 淫秽 信息 (淫秽 电子 信息 在 互联 网 上 传输 ) ; 

。 网 络 传 销 一 一 通过 计算 机 网 络 进行 网 络 传销 (传销 主要 活动 在 网 络 上 实施 ); 

。 网 络 诽谤 一 一 通过 计算 机 网 络 诽 谤 他 人 ; 

。 网 络 贩卖 违禁 品 、 管 制品 一 一 通过 计算 机 网 络 做 广告 .开设 网 店 贩卖 违禁 品 、 管 
制品 ; 
。 网 络 窃取 国家 秘密 一 一 通过 计算 机 网 络 窃取 .传输 国家 秘密 ; 


外 关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 ( 公 通 字 [2014]10 号 ) 。 
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。 通过 计算 机 网 络 勾 连 实施 杀人 、 抢 动 等 犯罪 活动 。 
除 此 之 外 ,传统 犯罪 利用 网 络 还 衍生 出 了 网 络 铠 怖 主义 、 网 络 吸 贩毒 、 帮 助 信 息 网 络 犯 
罪 活 动 等 多 种 犯罪 类 型 。 以 网 络 为 工具 的 犯罪 行为 主要 可 以 分 为 两 种 : 一 是 网 上 犯罪 , 即 
主要 犯罪 行为 在 互联 网 上 实施 的 犯罪 案件 ,此 类 案件 的 犯罪 行为 主要 在 互联 网 上 实施 ; 二 
是 涉 网 犯罪 , 即 利用 计算 机 网 络 组 织 色 连 但 主要 犯罪 行为 在 网 下 实施 的 犯罪 案件 。 

尽管 这 些 犯罪 行为 和 后 果 截 然 不 同 , 但 是 一 个 共同 的 特点 都 是 利用 网 络 作 为 工具 来 实 
施 犯 罪 活动 ,这 也 凸显 了 网 络 作为 媒介 能 够 放大 和 隐藏 犯罪 活动 的 功能 。 


1.7 网 络 犯罪 的 典型 过 程 


网 络 犯罪 利用 的 技术 千差万别 ,后 果 不 尽 相同 。 但 是 犯罪 嫌疑 人 在 实施 犯罪 时 ,通常 都 
有 犯罪 准备 .犯罪 实施 .毁灭 证 据 等 相关 的 步骤 。 计 算 机 网 络 作为 目标 的 网 络 犯罪 与 计算 机 
网 络 作为 工具 的 网 络 犯罪 相 比 ,前 者 利用 和 依赖 计算 机 网 络 的 程度 更 高 ,也 更 有 代表 性 。 以 
计算 机 作 目 标的 网 络 犯罪 为 例 , 其 犯罪 过 程 一 般 具有 以 下 六 个 阶段 。 

1. 踩点 

无 论 什 么 类 型 的 网 络 犯罪 ,网 络 犯罪 分 子 为 了 达到 其 违法 犯罪 的 目的 ,都 希望 充分 了 解 
犯罪 对 象 的 信息 。 即 使 网 络 是 虚拟 空间 ,这 个 了 解 目 标 详 细 情 况 的 过 程 也 像 传统 案件 一 样 ， 
俗称 "踩点 ”。 

网 络 犯罪 的 “踩点 ”, 主要 是 对 暴露 在 网 络 上 的 目标 关键 信息 的 搜索 .查询 .社会 工程 学 
等 外 围 侦查 活动 。 与 传统 踩点 相 比 ,其 区 别 是 非 接触 式 的 。 例 如 可 以 通过 Whois 服务 器 进 
行 注 册 机 构 查询 .单位 查询 .域名 查询 ; 可 以 通过 DNS 查询 找到 对 应 的 IP 地 址 映射 ; 可 以 
通过 路 由 跟踪 查询 从 一 台 主 机 到 另 一 台 主 机 的 路 径 。 

2. 扫描 

在 搜集 到 足够 多 的 外 围 情况 后 ,一般 需要 利用 扫描 工具 查找 目标 的 弱点 ,以 寻找 入 口 。 
这 个 过 程 是 接触 式 的 ,可 能 会 在 目标 的 日 志 中 保存 有 扫描 的 动作 。 在 这 个 环节 ,犯罪 分 子 难 
免 会 留 下 痕迹 ,因此 ,并 不 是 犯罪 时 间 段 的 动作 才 是 最 重要 的 ,在 这 之 前 的 扫描 动作 也 可 以 
提供 很 多 线索 。 在 扫描 阶段 ,犯罪 分 析 利 用 各 种 各 样 的 工具 和 技术 ,确定 目标 开放 的 服务 、 
端口 和 漏洞 。 

3. 攻击 

根据 通过 踩点 和 扫描 到 的 信息 .犯罪 分 子 制定 入 侵 的 策略 ,利用 工具 或 者 社会 工程 学 攻 
击 , 突 破 目标 的 防护 .获取 系统 的 权限 ,进入 到 系统 内 部 。 这 个 过 程 不 一 定 很 顺利 。 犯 罪 分 
子 往往 综合 应 用 多 种 技术 ,达到 入 侵 的 目的 。 

4. 提高 权限 

无 论 是 采取 漏洞 攻击 还 是 社会 工程 学 攻击 ,犯罪 分 子 的 最 终 目 的 ,就 是 获得 系统 的 控制 
权 , 即 取得 管理 员 权 限 。 进 入 到 目标 系统 内 ,如 果 没 有 管理 员 权 限 , 往 往 不 能 达到 放置 后 门 
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或 者 释放 木马 的 目的 ,更 无 法 获取 目标 的 重要 信息 。 

5. 从 事 违法 犯罪 活动 

在 获得 操作 系统 的 管理 员 权限 以 后 ,系统 的 防护 将 不 复 存 在 ,犯罪 分 子 即 可 以 为 所 和 欲 
为 。 他 可 以 安装 一 个 后 门 ,任意 修改 数据 库 里 的 数据 ,在 网 站 上 发 布 违法 犯罪 信息 等 。 

6. 销毁 证 据 

犯罪 分 子 得 逮 后 ,为 了 不 被 人 发 觉 ,总 是 要 销毁 证 据 。 在 其 经 过 的 计算 机 网 络 设备 上 都 
留 有 其 进入 的 痕迹 ,包括 各 种 系统 日 志 、Web 日 志 、 入 侵 检 测 系 统 日 志 等 。 这 些 都 是 犯罪 分 
子 销毁 的 目标 。 但 是 由 于 网 络 的 复杂 性 ,总 是 会 留存 一 些 信息 ,如 同 现实 社会 一 样 ,完全 毁 
灭 证 据 是 非常 困难 的 。 


1.8 网 络 犯罪 的 特点 


网 络 处 于 不 断 的 创新 和 发 展 过 程 中 .新 的 犯罪 手法 和 犯罪 趋势 不 断 涌现 。 网 络 犯罪 由 
于 种 类 多 样 ,其 特点 也 不 尽 相 同 ,与 其 他 犯罪 活动 相 比 ,网 络 犯罪 的 典型 特点 主要 体现 在 以 
下 几 个 方面 。 


1.8.1 虚拟 性 


网 络 犯罪 的 首要 特点 是 虚拟 性 。 网 络 犯罪 行为 均 发 生 在 计算 机 或 者 网 络 的 虚拟 空间 
中 。 在 这 个 空间 中 ,物理 的 人 以 虚拟 身份 出 现 ,完全 匿名 ,甚至 以 程序 出 现 ,能 够 完成 交流 、 
数据 传输 、 金 融 支付 等 现实 社会 中 的 行为 ,这 个 过 程 是 看 不 见 、 摸 不 到 的 ,完全 以 二 进 制 代码 
的 电子 数据 形式 存在 ,不 借助 于 应 用 程序 无 法 变 成 可 读 的 形式 。 这 种 虚拟 性 极 大 地 扩展 了 
社会 交流 和 交易 方式 ,也 带 来 了 网 络 犯罪 的 不 可 见 。 网 络 犯罪 的 虚拟 性 ,使 得 网 络 犯罪 具有 
极 高 的 隐蔽 性 ,增加 了 网 络 犯罪 案件 的 侦查 取证 难度 。 据 调查 已 经 发 现 的 网 络 犯罪 的 仅 占 
得 偿 总 数 的 5%~~10%, 其 犯罪 黑 数 了 相当 大 ,很 多 犯罪 行为 的 发 现 出 于 偶然 。 


1.8.2 技术 性 


网 络 犯罪 具有 一 定 的 技术 性 。 行 为 人 实施 相对 专业 性 的 行为 ,针对 网 络 为 对 象 实施 犯 
罪 ,行为 人 要 具有 计算 机 网 络 的 相关 知识 ,具有 相对 高 超 的 计算 机 网 络 技术 ,才能 突破 系统 
的 保护 ,同时 清除 犯罪 痕迹 ,掩盖 犯罪 行为 。 即 使 是 以 网 络 为 工具 的 犯罪 行为 ,行为 人 也 要 
掌握 一 定 的 计算 机 网 络 知识 ,才能 利用 计算 机 网 络 实施 犯罪 活动 。 由 于 网 络 社会 分 工 的 细 
化 和 入 侵 工具 的 进步 ,网 络 犯罪 的 技术 门槛 越 来 越 低 , 但 是 完全 不 懂 或 者 不 借助 计算 机 网 络 
知识 ,是 无 法 进行 网 络 犯 罪 的 。 具 有 相关 的 技术 、 具 有 专业 知识 是 从 事 网 络 犯罪 的 前 提 


外 又 称 犯罪 暗 数 ,刑事 隐 案 是 指 一 些 隐 案 或 潜伏 犯罪 虽然 已 经 发 生 , 却 因 各 种 原因 没有 被 计算 在 官方 正式 的 犯罪 
统计 之 中 ,对 这 部 分 的 犯罪 估计 值 。 


了 
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条 作 。 
1.8.3 复杂 性 


网 络 犯罪 不 但 是 新 型 的 犯罪 活动 ,也 是 传统 犯罪 的 网 络 化 。 这 使 得 网 络 犯罪 具有 高 度 
的 复杂 性 ,主要 表现 在 如 下 两 个 方面 : 
第 一 ,犯罪 主体 的 复杂 性 。 具 备 计 算 机 网 络 知 识 的 个 体 只 要 通过 一 台 联 网 的 计算 机 便 
可 以 在 通过 网 络 进 行人 侵 活动 。 有 组 织 的 网 络 犯罪 活动 形成 或 松散 或 紧密 的 圈子 ,在 金钱 
利益 的 大 前 提 下 ,不 认识 的 人 可 以 通过 网 络 组 成 的 团体 实施 犯罪 活动 ,这 个 团体 可 以 是 跨 地 
第 二 ,犯罪 对 象 的 复杂 性 。 随 着 网 络 应 用 的 逐步 普及 ,移动 支付 .互联 网 十 的 兴起 ,导致 
网 络 犯罪 对 象 也 越 来 越 复杂 和 多 样 ,不 但 针对 个 人 或 者 组 织 的 利益 ,而 且 发 展 到 网 络 恐 怖 主 
义 等 侵害 国家 安全 ,政治 安定 等 领域 。 具 体 的 体现 是 犯罪 类 型 推陈出新 ,各 种 犯罪 交织 ,区 
分 界定 困难 。 


1.8.4 广 域 性 


互联 网 是 连接 全 球 的 网 络 , 广 域 性 是 其 最 主要 的 特性 。 网 络 犯 罪 与 传统 犯罪 的 最 大 不 
同 在 于 : 网 络 犯罪 利用 网 络 进行 的 行为 可 以 是 跨越 任何 空间 障碍 的 ,网 络 把 千里 之 外 的 人 
联系 在 一 起 。 行 为 人 可 以 来 自 不 同 的 民族 、 国 家 、 地 区 ,政治 或 经 济 利益 将 他 们 组 织 在 一 起 。 

网 络 冲破 了 地 域 限制 ,网 络 犯罪 呈 国 际 化 趋势 ,具有 广 域 性 。 这 为 行为 人 跨 地 域 .跨国 
界 实 施 犯 罪 活动 提供 了 可 能 。 以 网 络 诈骗 为 例 , 嫌 疑 人 发 布 一 则 诈骗 信息 ,或 者 设置 一 个 虚 
假 购 物 网 站 ,受害 者 可 能 遍及 全 国 各 地 甚至 全 球 各 地 。 这 种 跨国 界 、 跨 地 区 的 作案 隐蔽 性 
强 、 不 易 侦破 ,危害 也 就 更 大 。 


1.8.5 危害 大 


网 络 犯 罪 的 危害 领域 包括 个 人 隐私 、 社 会 金融 、 国 家 安全 等 多 个 方面 ,而 且 犯 罪 发 展 迅 
速 。 随 着 网 络 的 应 用 逐步 增多 ,人 们 的 生活 越 来 越 多 地 依靠 网 络 ,网 络 危害 性 体现 的 领域 和 
范围 将 越 来 越 大 ,危害 的 程度 也 更 严重 ,其 危害 的 领域 也 从 计算 机 网 络 系统 、 金 融 犯罪 发 展 
为 未 来 的 生产 、 科 研 . 了 卫生、 邮电 等 几乎 所 有 联网 的 领域 。 从 某 种 意义 上 说 ,网 络 犯罪 的 危害 
性 远大 于 暴力 犯罪 之 外 的 普通 犯罪 活动 。 


1.8.6 产业 化 


随 着 网 络 犯罪 的 发 展 ,原本 仅仅 是 为 了 显示 个 人 能 力 的 入侵 者 ,也 发 现 了 网 络 可 以 迅速 
实现 自己 的 “发 财 致富 ”的 梦想 。 在 利益 的 驱动 下 ,网 络 犯罪 由 原先 的 单纯 的 入 侵 活动 ,迅速 
发 展 到 针对 个 人 信息 、 金 融 系统 的 犯罪 阶段 ,传统 违法 犯罪 向 “互联 网 十 "快速 蔓延 发 展 ,大 
量 违 法 犯罪 的 准备 和 实施 , 均 借 助 网 络 技 术 应 用 而 实现 。 近 几 年 , 越 来 越 多 的 网 络 犯 罪 活 动 
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集中 于 获取 高 额 利润 和 获取 个 人 数据 ,已 经 形成 产业 ,具备 相当 的 规模 。 互 联网 上 的 “ 黑 产 ” 
链条 ,已 经 日 益 明晰 。 有 专门 收集 公民 信息 的 ,有 专门 利用 “ 伪 基 站 ”发 布 诈骗 广告 的 ,有 专 
门 开 发 木马 软件 的 ,有 专门 负责 发 单 的 ,有 专门 提供 交易 平台 的 等 。 犯 罪 分 子 利用 各 种 平台 
作案 ,专业 化 程度 相当 高 。 这 些 交易 、 勾 连 的 双方 ,可 能 相互 不 认识 ,也 不 会 见面 。 


1.8.7 低龄 化 


日 于 计算 机 网 络 迅速 普及 , 越 来 越 多 的 年 轻 人 甚至 青少年 都 能 接触 到 计算 机 网 络 。 由 
于 青少年 对 新 生 事物 的 学 习 能 力 较 强 和 人 生 观 尚未 成 熟 ,网 络 犯罪 的 行为 人 的 年 龄 越 来 越 
小 ,青少年 占 整个 网 络 罪犯 中 的 比例 越 来 越 高 。2006 年 ,澳大利亚 的 一 项 全 国 性 的 调查 发 
现 ,2/3 的 网 络 罪犯 的 年 龄 在 15 一 26 岁 之 间 。 尽 管 危害 程度 与 成 年 人 一 样 严 重 ,但 是 由 于 
这 些 行为 人 由 于 年 龄 过 小 ,只 能 减轻 或 者 免 于 刑事 处 罚 。 而 近年 来 ,各 种 "黑客 训练 营 ” 攻 
防 大 赛 " 更 是 培养 了 青少年 学 习 “ 黑 客 ”知识 的 兴趣 ,没有 正确 价值 的 导向 ,导致 网 络 犯 罪 的 
低龄 化 成 为 不 可 避免 的 趋势 ,扩大 了 网 络 犯罪 的 潜在 群体 ,直接 给 网 络 犯罪 的 打击 带 来 了 巨 
大 的 压力 。 


1.9 本 章 小 结 


与 传统 犯罪 相 比 ,网 络 犯罪 具有 多 种 不 同 的 特性 ,这 些 特性 显示 了 网 络 犯罪 的 运行 机 
制 . 打 击 方式 与 普通 犯罪 截然 不 同 。 网 络 犯罪 已 经 完成 “ 赔 变 ” ,网络 犯 罪 侦 查 工作 也 需要 进 
行 变革 , 方 能 适应 新 形势 下 的 网 络 安全 的 要 求 。 


思 考 题 


. 请 举 出 至 少 一 种 远程 控制 工具 和 至 少 三 种 病毒 的 名 称 。 
简 述 网 络 犯罪 的 现状 。 

简 述 网 络 犯罪 的 发 展 趋势 。 

. 简 述 网 络 犯罪 的 概念 。 

简 述 网 络 犯 罪 的 构成 。 

以 网 络 作为 目标 的 网 络 犯罪 的 类 型 有 哪些 ? 

以 网 络 作为 工具 的 网 络 犯罪 的 类 型 有 哪些 ? 

简 述 网 络 犯罪 的 特点 。 


oo 下 辐 上 oo 
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网 络 犯 罪 侦查 概述 


本 章 学 习 目 标 

。 网 络 犯罪 侦查 的 概念 

。 网 络 犯罪 侦查 的 主体 

。 网 络 犯罪 侦查 的 任务 

。 网 络 犯 罪 侦 查 面 临 的 问题 

。 网 络 犯 罪 侦 查 的 原则 

。 网 络 犯 罪 侦查 人 员 的 素质 要 求 


网 络 发 展 到 今天 ,移动 终端 .智能 设备 迅速 兴起 ,使 得 网 络 用 户 不 再 被 动 地 接收 信息 而 
是 主动 地 创造 信息 。 网 络 的 交互 性 已 经 渗透 进 现实 生活 的 各 个 方面 ,我 国 在 网 络 安全 方面 
将 面临 更 大 的 压力 和 挑战 。 网 络 犯罪 涉及 范围 包括 经 济 政治 及 社会 的 各 个 领域 ,而 且 跨 地 
域 . 技 术 含 量 高 。 实 践 证 明 ,依靠 传统 思路 对 网 络 犯罪 案件 进行 侦破 ,其 难度 已 远 远 超过 传 
统 案件 ,耗费 的 人 力 物 力 超 乎 想象 ,网 络 犯罪 侦查 长 期 处 于 被 动 的 地 位 , 远 远 不 能 适应 互联 
网 时 代 的 网 络 安全 需要 。 

网 络 犯罪 侦查 是 一 个 新 兴 的 、 截 然 不 同 的 侦查 领域 ,侦查 机 关 和 学 术 界 应 广泛 开展 对 网 
络 犯罪 侦查 的 研究 。 如 何 吸取 传统 侦查 经 验 ,探索 网 络 犯罪 侦查 的 规律 ,建立 符合 网 络 时 代 
的 侦查 理念 和 思路 , 变 被 动 为 主动 ,对 于 网 络 犯罪 侦查 工作 是 必要 和 急需 的 。 


2.1 网 络 犯罪 侦查 的 概念 


刊 事 诉 讼 可 分 为 侦查 ,起 诉 和 审判 三 大 程序 阶段 ,侦查 活动 主要 在 侦查 阶段 进行 中 。 侦 
查 是 指 刑事 诉讼 中 的 公安 机 关 、 检 察 院 、 国 家 安全 机 关 等 具有 刑事 侦查 权 的 部 门 ,为 了 查 明 
犯罪 事实 .抓获 犯罪 嫌疑 人 ,依法 进行 的 专门 调查 工作 和 采用 有 关 强 制 性 措施 的 活动 。 侦 查 
的 过 程 一 般 从 立案 开始 ,到 案件 作出 是 否 移送 起 诉 的 决定 时 止 。 

其 中 ,所 谓 “ 专 门 调查 工作 ”, 是 指 为 完成 侦查 任务 依法 进行 的 讯问 、 询 问 、 勘 验 , 检 查 、 搜 
查 、 扣 押 物 证 或 书证 ,鉴定 .通缉 等 ; 所 谓 “ 有 关 强 制 性 措施 ”, 包 括 “ 两 类 ”: 一 是 许多 专门 调 


中 ”在 起 诉 和 审判 阶段 ,如 果 认 为 案件 事实 尚 需 进一步 查 明 ,依法 可 以 进行 补充 侦查 。 
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查 工作 ,如 讯问、 搜查 、 扣 押 \、 通 缉 等 ; 二 是 专门 针对 犯罪 嫌疑 人 适用 的 拘 传 .取保 候审 、 监 视 
网 络 犯 罪 具有 不 同 于 传统 犯罪 的 特点 ,其 侦查 的 技术 和 谋略 有 所 不 同 , 但 是 网 络 犯罪 侦 
查 的 主体 、 客 体 和 依据 与 传统 侦查 没有 区 别 。 
网 络 犯 罪 侦 查 是 指 " 为 了 揭露 和 证 实 网 络 犯罪 案件 ,查获 犯罪 嫌疑 人 ,依法 收集 相应 的 
电子 证 据 , 进 行 专门 的 调查 和 实施 强制 性 措施 的 活动 ”。 


2.2 网 络 犯罪 侦查 的 主体 


网 络 犯罪 侦查 是 具有 强制 措施 的 执法 活动 。 网 络 犯罪 侦查 的 主体 主要 是 具有 侦查 权 的 
侦查 部 门 。 这 些 部 门 依据 国家 和 地 方 颁布 的 法 律 法 规 进行 打击 网 络 犯罪 的 工作 。 根 据 《 刑 
事 诉讼 法 ) 的 规定 ,具有 刑事 侦查 权 的 主体 为 公安 、 国 家 安全 检察 .军队 保卫 等 部 门 。 

除 此 之 外 ,由 于 网 络 犯罪 侦查 具备 一 定 的 技术 性 ,因此 还 需要 多 方 参与 ,配合 上 述 执法 
部 门 的 侦查 。 除 了 学 术 机 构 在 法 律 和 政策 制定 .人 才 培 养 上 予以 帮助 之 外 ,网 络 安全 行业 的 
公司 也 利用 自身 的 技术 优势 ,配合 执法 部 门 进行 执法 工作 ,这 也 是 网 络 犯罪 侦查 与 其 他 侦查 
方式 不 同 的 特色 。 

网 络 犯罪 侦查 部 门 作为 网 络 犯罪 打击 的 主体 ,是 各 国家 和 地 区 发 展 的 重点 。 


2.2.1 美国 


美国 军 方 .警方 .国家 安全 部 门 和 司法 部 门 根据 权限 分 别 设 立 了 针对 网 络 犯罪 的 专门 机 
构 。 美 国 海军 1998 年 就 设立 了 专门 的 网 络 犯罪 调查 机 构 (The Defense Cyber Crime 
Center,DC3D)。 美 国 司法 部 的 计算 机 犯罪 与 知识 产权 部 门 (The Computer Crime and 
Intellectual Property Section ,CCIPSG) ,美国 特勤 局 的 电子 犯罪 特 遗 队 (Electronic Crimes 
Task Forces,TCTFG@) 在 2001 年 建立 。 联 邦 调查 局 (FBT) 在 1991 年 开始 建立 国家 计算 机 
犯罪 侦查 队 (National Computer Crime Squad) 。 近 年 来 ,在 各 州 建立 了 16 个 地 区 计算 机 取 
证 实验 室 (The Regional Computer Forensics Laboratory,RCFLGB) ,负责 当地 的 网 络 犯罪 调 
查 的 现场 取证 和 证 据 支 持 。 这 些 实验 室 工 作 人 员 都 具备 专业 背景 ,具有 丰富 的 网 络 犯罪 侦 
查 经 验 。 


2.2.2 美国 
早 在 1985 年 ,英国 就 曾 创建 了 一 个 计算 机 犯罪 侦查 小 组 "国家 高 科技 犯罪 侦查 小 组 ”， 


http://www. dc3. mil/ 
http://www. justice. gov/ criminal/cybercrime/ 


http://www. secretservice. gov/ectf. shtml 


©e@e8e 


http://www. rcfl. gov/ 
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设 于 大 都 会 警察 局 诈骗 侦查 队 内 ,专门 负责 计算 机 高 科技 犯罪 的 侦查 工作 。2001 年 ,英国 
警察 局 长 协会 D(Association of Chief Police Officers, ACPO) 建立 国家 高 科技 犯罪 小 组 
(National Hi-Tech Crime Unit,NHTCU)。2006 年 NHTCU 合并 和 严重 有 组 织 犯罪 局 的 
网 络 调查 部 门 。2013 年 ,英国 国家 打击 犯罪 侦查 局 (National Crime Agency,NCAG@G) 下 连 
的 国家 网 络 犯罪 侦查 小 组 (The NCA’”s National Cyber Crime Unit, NCCU) 成 立 , 其 日 的 是 
惩治 日 益 独 狐 的 网 络 上 的 有 组 织 犯罪 .金融 犯罪 ,儿童 色情 等 犯罪 活动 。 国 家 网 络 犯罪 侦查 
小 组 整合 了 原 有 的 大 都 会 警察 局 的 中 央 电子 犯罪 小 组 (Central e-Crime Unit,PCeU) 和 严 
重 有 组 织 犯 罪 局 的 网 络 调查 部 门 , 除 此 之 外 ,英国 内 政 部 也 有 网 络 犯罪 调查 部 门 ,作为 国家 
层面 的 网 络 犯罪 侦查 部 门 。 地 方 的 警察 部 门 都 设 有 网 络 犯 罪 调查 的 部 门 和 专业 人 员 。 


2.2.3 韩国 


韩国 是 受到 网 络 犯罪 侵害 较为 严重 的 国家 ,2012 年 韩国 网 络 犯罪 大 概 有 80 000 起 。 早 
在 1997 年 ,韩国 警方 就 成 立 了 计算 机 犯罪 调查 组 (Computer Crime Investigation Team) 打 
击 网 络 犯罪 。2000 年 ,韩国 国家 警察 厅 (KNPA) 的 网 络 忍 怖 响应 中 心 成 立 。2004 年 ,国家 
警察 厅 建 立 了 数字 证 据 分 析 中 心 (Center of Digital Evidence Analysis) 进行 电子 数据 取证 
工作 。2014 年 ,韩国 国家 警察 厅 网 络 局 加 成 立 , 作 为 国家 层面 的 一 个 专业 侦查 机 构 。 


2.2.4 日 本 


日 本 于 2013 年 在 国家 警察 厅 @ 内 部 建立 了 网 络 调查 中 心 ,负责 处 理 网 络 攻击 ,并 为 基 
层 警察 部 提供 网 络 犯罪 调查 和 指导 服务 。 


2.2.5 国际 刑拘 组织 


国际 刑警 组 织 (INTERPOL) 是 全 球 最 大 的 执法 协调 部 门 , 在 应 对 跨国 网 络 犯罪 方面 起 
到 不 可 替代 的 作用 。2000 年 10 月 ,国际 刑警 组 织 建成 反 计算 机 犯罪 情报 网 络 。 在 新 加 坡 
设立 了 创新 中 心 (Global Complex for Innovation,IGCI) ,IGCI 成 为 打击 跨国 网 络 犯罪 的 国 
际 协调 枢纽 。 


2.2.6 欧盟 


欧盟 一 直 积 极 推动 信息 社会 .打击 网 络 犯罪 是 保证 成 员 国安 全 的 重要 一 环 。2004 年 欧 
盟 成 立 “ 欧 洲 信 息 安全 局 ”。2013 年 1 月 11 日 ,欧盟 在 荷兰 海牙 成 立 了 “打击 网 络 犯罪 中 


http://www. acpo. police. uk/ 
http://www. nationalcrimeagency. gov. uk/ 


http://www. ctrc. go. kr/eng/index. jsp 


四 四 日 


http://www. npa. go. jp 
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心 ”, 隶 属于 欧洲 刑警 组 织 。 职 责 是 对 网 络 犯罪 威胁 提供 警报 .追踪 网 络 犯罪 活动 和 犯罪 分 
子 , 为 相关 的 刑事 调查 提供 技术 支持 。 


2.2.7 中 国 尖 帆 


1994 年 2 月 18 日 ,中 华人 民 共 和 国 国务 院 颁布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安 
全 保护 条 例 ) 规 定 , 由 公安 机 关 负 责 计算 机 信息 系统 的 安全 保护 管理 工作 ; 1995 年 2 月 28 
日 全 国人 大 常委 会 颁布 的 (中 华人 民 共 和 国人 民警 察 法 ) 明 确 了 公安 机 关 具 有 监督 管理 计算 
机 信息 系统 的 安全 保护 工作 职责 ; 1997 年 12 月 30 日 ,国务 院 公 布 的 (计算 机 信息 网 络 国际 
联网 安全 保护 管理 办 法 ) 将 公安 机 关 的 监督 职权 扩展 到 了 信息 网 络 的 国际 联网 领域 ; 2000 
年 12 月 ,全 国人 大 常委 会 颁布 的 (关于 维护 互联 网 安全 的 决定 ), 进 一 步 明确 了 公安 机 关 对 
网 络 安全 的 监督 打击 职权 。 

网 络 犯罪 侦查 的 主体 包括 网 络 安全 保卫 \ 刑 事 侦 查 .技术 侦查 .国内 安全 保卫 、 经 济 侦查 
等 几乎 覆盖 整个 警 种 的 侦查 部 门 。 网 络 犯罪 侦查 主要 力量 是 公安 机 关 网 络 安全 保卫 部 门 俗 
称 " 网 警 "。 这 种 新 型 警察 队伍 的 主要 目标 ,就 是 打击 那些 在 数秒 钟 之 内 作案 ,但 几乎 不 留 下 
任何 痕迹 的 网 络 犯罪 行为 。 网 络 安全 保卫 部 门 不 同 于 其 他 技术 部 门 ,是 集 侦 查 打击 监督 管 
理 于 一 体 的 综合 性 实战 部 门 ,具有 行政 处 罚 权 和 刑事 侦查 权 。 

在 法 律 法 规 的 严格 界定 和 网 络 安全 保卫 部 门 的 努力 下 。2015 年 网 安 部 门 侦办 各 类 网 
络 犯罪 案件 17. 3 万 起 ,抓获 违法 犯罪 嫌疑 人 29. 8 万 名 ,其 中 黑客 攻击 破坏 违法 犯罪 947 
起 ,抓获 犯罪 人 员 2703 名 。 其 中 危害 较 大 的 案件 , 按 数量 排序 依次 为 侵 财 类 案件 (诈骗 、 咨 
窃 )28%% 、 网 络 传播 淫秽 色情 20%、 网 络 赌博 14% .黑客 攻击 破坏 7% 、 其 他 21% 了 。 


2.2.8 中 国 香港 


1993 年 ,香港 地 区 专业 应 对 网 络 犯 罪 活 动 的 部 门 一 一 电脑 罪案 组 (Computer Crime 
Section) 成 立 @。2001 年 ,电脑 罪案 组 被 纳 进 商业 罪案 调查 科 , 更 名 为 科技 罪案 组 
(Technology Crime Division,TCD)。2012 年 ,香港 网 络 犯罪 3015 起 ,涉及 损失 金额 达 3. 4 
亿 港 元 。 面 对 这 一 形势 ,2012 年 12 月 香港 警方 成 立 网 络 安全 中 心 。2014 年 ,科技 罪案 组 与 
网 络 安全 中 心 合 并 及 升格 为 网 络 安全 及 科技 罪案 调查 科 , 下 辖 的 数码 法 证 鉴证 队 负责 进行 
取证 ,典型 的 案件 有 陈冠希 裸照 事件 .香港 交易 所 黑客 攻击 案 等 。 对 于 知识 产权 案件 的 调 
查 , 则 由 香港 海关 网 络 犯罪 侦查 部 门 侦办 。 


2.2.9 中 国 澳门 
澳门 地 区 的 网 络 犯罪 侦查 部 门 为 司法 警察 局 9 资讯 与 电讯 协调 厅 。 


四 公安 部 网 络 安全 保卫 局 局 长 , 刘 新 云 ,第 二 届 中 国 互联 网 大 会 2015. 12 
回 http://zh. wikipedia. org/wiki/%E7%ATHYIN KEWHSAWHEONET HBDH AAWEGH Al1M%88HE7 HB5% 84 
® http://www. pj. gov. mo/NEW/main. htm 
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2.3 网 络 犯 罪 侦 查 的 任务 


网 络 犯罪 侦查 的 任务 是 公安 机 关 依 照 法 律 赋予 的 权力 ,按照 职责 分 工 , 利 用 相关 的 技 
术 、 依 法 发 现 线索 、 固 定 证 据 、 抓 捕 犯 罪 嫌 颖 人、 提交 诉讼 等 的 过 程 。 

《中 华人 民 共 和 国 警察 法 ?规定 公安 机 关 的 人 民警 察 按照 职责 分 工 ,依法 承担 以 下 任务 ， 

(一 ) 预防 .制止 和 侦查 违法 犯罪 活动 ; 

(二 ) 维护 社会 治安 秩序 ,制止 危害 社会 治安 秩序 的 行为 ; 


根据 (警察 法 ) 的 要 求 ,网 络 犯 罪 侦 查 的 任务 是 “依据 法 律 法 规 的 规定 ,对 以 网 络 为 目标 
和 以 网 络 为 工具 的 犯罪 行为 进行 侦查 。” 


2.4 网络 犯 罪 侦 查 面临 的 问题 


网 络 犯罪 的 蔓延 速度 超过 人 们 的 想象 ,可 以 毫 不 夸张 地 说 ,未 来 的 多 数 犯罪 活动 都 将 依 
托 网 络 进行 或 者 与 网 络 有 关联 。 犯 罪 分 子 轻 点 鼠标 就 能 完成 犯罪 活动 ,侦查 部 门 却 要 花费 
大 量 人 力 物力 去 侦破 。 工 作 的 效率 远 远 不 能 满足 现实 斗争 的 需求 ,对 于 网 络 犯罪 进行 “有 
效 ? 打 击 已 经 是 迫在眉睫 需要 解决 的 问题 。 

公安 机 关 在 打击 网 络 犯罪 中 发 挥 了 重要 作用 ,但 是 也 存在 一 些 问 题 ,比如 ,基层 机 构 薄 
弱 、 专 业 技术 落后 ,协作 配合 混乱 、 侦 查 资源 不 足 、 侦 查 技术 单一 。 这 些 问 题 严 重 制约 了 侦查 
效率 ,直接 后 果 是 破案 率 低 、 大 量 的 案件 积压 ,群众 不 满意 。 如 果 犯 罪 分 子 实 施 犯罪 后 ,始终 
得 不 到 法 律 的 制裁 ,这 种 情况 持续 下 去 ,不 但 法 律 被 质疑 ,不 具有 威慑 力 ,更 谈 不 上 法 律 的 预 
防 作 用 ; 而 且 社 会 的 秩序 被 破坏 ,人 民 的 财产 安全 得 不 到 保障 ,丧失 安全 感 ,对 法 律 失 去 
信心 。 

目前 ,制约 网 络 犯罪 侦查 工作 ,造成 以 慢 打 快 ?的 因素 主要 有 以 下 几 方 面 。 


2.4.1 法 律 规定 滞后 


我 国政 府 连 续 颁布 了 多 个 网 络 法 律 法 规 ,使 得 网 络 犯 罪 打 击 有 法 可 依 ,在 一 定 程度 上 过 
制 了 网 络 犯罪 的 蔓延 。 但 是 对 于 发 展 迅 速 的 网 络 犯罪 , 现 有 的 法 律 总 是 处 于 滞后 状态 ,同时 
法 律 规定 过 于 概括 和 宏观 ,可 操作 性 不 强 。 网 络 犯罪 侦查 部 门 在 实际 工作 中 ,往往 遇 到 新 型 
的 犯罪 , 现 有 的 法 律 无 法 覆盖 ,在 依法 治国 的 大 前 提 下 ,反而 无 法 对 网 络 犯罪 进行 有 效 打击 。 
同时 ,由 于 网 络 应 用 的 多 样 性 ,犯罪 分 子 很 容易 变换 犯罪 方式 ,逃避 打击 。 
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2.4.2 专业 技术 能 力 不 强 


网 络 犯 罪 侦 查 的 主体 部 门 , 无 论 是 网 络 安 全 保卫 部 门 ,还 是 刑侦 、 国 保 、 经 侦 等 业务 警 
种 ,都 缺乏 满足 实战 需要 的 技术 人 员 。 地 方 公安 机 关 更 多 的 是 考虑 机 构建 设 的 需求 ,设立 网 
安 部 门 过 于 仓促 ,人 员 组 成 缺乏 科学 性 。 一 部 分 是 了 解 计算 机 网 络 的 人 员 ,这 部 分 人 中 有 信 
息 通信 维护 人 员 、 有 从 地 方 招 录 的 技术 人 才 , 他 们 的 专业 知识 方向 和 深度 都 相应 欠缺 ; 另 一 
部 分 从 其 他 部 门 抽调 的 民警 没有 专业 所 需 的 计算 机 网 络 知识 。 技 术 是 网 络 犯罪 的 基础 , 没 
有 技术 便 无 从 谈 起 对 网 络 犯罪 进行 有 效 的 侦查 。 


2.4.3 侦查 思路 落后 


目前 ,网 络 犯罪 侦查 思路 还 停留 在 传统 的 刑事 侦查 经 验 上 ,传统 侦查 模式 是 “由 事 到 人 、 
由 物 到 人 、 由 人 到 人 ”, 这 对 于 网 络 犯罪 侦查 并 不 完全 适用 。 网 络 犯罪 没有 一 般 案件 具有 的 
物理 可 以 感知 的 犯罪 现场 ,嫌疑 人 也 以 虚拟 人 的 身份 隐藏 在 网 络 中 ,犯罪 的 时 间 是 相对 的 ， 
犯罪 痕迹 也 很 难 获取 。 侦 查 机 关 没 有 对 网 络 犯罪 侦查 进行 科学 的 研究 ,无 法 形成 符合 需要 
的 侦查 思路 。 

面 对 新 型 的 网 络 案件 侦查 ,大 部 分 侦查 员 缺 乏 专业 知识 和 系统 训练 ,没有 建立 起 网 络 案 
件 的 侦查 思维 和 意识 。 计 算 机 专业 出 身 的 人 员 没 有 参与 过 案件 ,证 据 意识 ,程序 意识 薄弱 ， 
更 不 具有 侦查 经 验 。 基 层 抽 调 的 侦查 人 员 思 维 局 限于 传统 案件 的 侦破 思路 ,难以 适应 网 络 
犯罪 的 发 展 而 各 自 为 战 , 依 靠 各 自 的 经 验 进行 工作 。 甚 至 固守 原 有 的 侦查 思维 ,不 加 强 学 
习 , 保 守 地 抵触 网 络 犯罪 侦查 技术 和 思路 ,更 无 从 谈 起 侦查 技术 与 侦查 思路 的 紧密 配合 。 


2.4.4 网 络 犯罪 证 据 困境 


“证 据 是 认定 法 律 事实 的 唯一 依据 ”。 网 络 犯罪 跨越 物理 和 虚拟 两 大 空间 ,作案 地 和 作 
案 人 往往 隐藏 在 虚拟 的 网 络 空间 后 ,其 传输 的 电子 数据 是 虚拟 ,不 可 见 的。 需要 使 用 电子 数 
据 取证 技术 来 提取 ,恢复 ,并 使 其 可 视 化 ,形成 证 据 链 才能 作为 证 据 使 用 。 传 统 侦查 的 一 个 
普遍 观点 是 “侦查 的 目的 在 于 破案 抓 人 ,一 切 侦查 技术 和 证 据 的 运用 ,都 应 当 服 务 于 此 ”。 这 
是 极为 偏颇 的 ,更 无 法 适用 于 网 络 侦查 工作 中 。 从 根本 上 讲 ,侦查 本 身 仅仅 只 是 刑事 诉讼 的 
一 个 环节 ,侦查 的 目的 是 为 后 续 的 公诉 和 审判 服务 ,因而 侦查 的 任务 包括 查获 犯罪 嫌疑 人 和 
固定 相关 证 据 , 若 侦查 环节 只 关注 破案 抓 人 ,而 忽视 证 据 的 收集 和 固定 ,由 于 电子 数据 的 易 
失 性 ,证 据 的 迅速 灭失 ,会 导致 侦查 与 诉讼 完全 脱节 。 更 重要 的 是 ,过 分 追求 “嫌疑 人 的 到 位 
即 破案 ”, 将 侦查 片面 理解 为 " 技 战 法 ”, 将 会 合乎 逻辑 地 推论 出 "为 打击 犯罪 ,可 以 不 择 手段 、 
不 辨 是 非 \ 不 计 成 本 "的 观点 ,而 这 极 易 导 致 侦查 脱离 法 治 的 轨道 而 自行 其 是 ,甚至 严重 侵犯 
公民 的 基本 人 权 , 更 不 符合 我 国 “依法 治国 ”的 基本 方针 。 

网 络 犯罪 的 证 据 主要 为 电子 数据 证 据 。 当 前 侦查 部 门面 对 的 挑战 之 一 是 如 何 处 理 电子 
数据 问题 。 电 子 数 据 取证 的 技术 要 求 高 .人员 芽 乏 直 接 导 致 了 相关 证 据 提 取 的 质量 不 高 ,对 
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网 络 犯罪 打击 的 效果 就 达 不 到 预期 ,而 反 过 来 又 限制 了 电子 数据 取证 的 发 展 , 形 成 一 个 恶 
循环 。 


2.4.5 协作 机 制 不 完善 


网 络 犯罪 侦查 不 同 于 传统 犯罪 活动 。 传 统 犯罪 侦查 的 目标 主要 是 人 员 轨 迹 和 资金 流 
句 ,网络 犯 罪 侦查 的 目标 则 是 电子 数据 的 交互 。 侦 查 人 员 如 果 不 能 理解 网 络 犯罪 侦查 的 这 
个 特点 ,将 会 贻误 战机 。 同 时 网 络 可 能 跨越 地 区 、 国 界 , 这 对 于 案件 的 管辖 和 协作 提出 了 更 
高 的 要 求 。 大 多 数 的 网 络 案件 是 由 于 管辖 问题 , 贻误 战机 ,导致 线索 中 断 、 嫌 疑 人 脱逃 。 我 
国 的 法 制 化 进程 要 求法 律 手 续 必须 完备 才能 开始 工作 ,而 这 一 要 求 往往 是 网 络 犯罪 侦查 不 
[逾越 的 鸿沟 ,等 到 手续 齐备 ,案件 往往 已 经 不 具有 工作 的 条 件 。 


2.5 网 络 犯罪 侦查 的 原则 


在 认识 到 问题 的 前 提 下 ,需要 采取 必要 的 措施 来 应 对 。 制 定 网 络 犯罪 侦查 的 原则 是 开 
展 网 络 犯罪 侦查 的 基础 。 虽 然 可 以 借鉴 遵循 一 般 刑事 案件 侦查 的 有 益 经 验 ,但 由 于 网 络 犯 
罪案 件 自身 的 特点 ,决定 了 网 络 犯罪 侦查 的 原则 与 一 般 刑事 案件 侦查 有 很 大 区 别 。 这 些 原 
则 综合 体现 了 网 络 犯罪 侦查 要 “ 快 人 三 分 、 高 人 一 筹 ”的 特点 。 


2.5.1 追求 时 效 ,“ 以 快 打 快 ” 


网 络 犯 罪 侦 查 首先 要 追求 时 效 性 ,最 大 限度 地 缩短 侦查 环节 ,提高 侦查 效率 。 改 变 信 息 
传递 速度 慢 、 反 应 不 够 迅速 ,协作 不 流畅 的 困 局 , 抓 住 侦 破 的 重要 时 机 。 这 是 由 于 网 络 犯 罪 
的 特点 决定 的 ,网 络 犯罪 的 行为 人 在 实施 犯罪 活动 前 ,往往 已 经 经 过 大 量 时 间 进 行 踩 点 .学 
试 ,做 好 了 充分 准备 。 而 犯罪 的 客体 是 不 易 被 察觉 的 计算 机 网 络 系统 ,其 数据 庞大 复杂 。 行 
为 人 可 以 在 瞬间 完成 犯罪 行为 ,并 清除 掉 犯 罪 痕迹 。 如 果 侦 查 机 关 不 能 迅速 及 时 地 采取 行 
动 ,行为 人 就 有 充分 的 时 间 来 逃脱 法 律 的 制裁 。 

网 络 犯罪 侦查 应 当 针对 不 同类 型 的 网 络 犯罪 ,不 同 状态 的 犯罪 活动 ,提前 做 好 准备 工 
作 , 方 能 闻 风 而 动 、 迅 速 打击 。 对 于 提前 布控 的 案件 ,提前 制订 预案 ,并 确定 侦查 策略 ,充分 
进行 网 上 侦查 .获取 嫌疑 人 的 信息 ,做 到 知己 知 彼 。 对 于 正在 或 者 已 经 完成 网 络 犯罪 ,更 应 
该 利用 技术 优势 ,提取 犯罪 证 据 、 获 取 线 索 , 循 线 追 击 , 判 断 嫌疑 人 动作 , 快 人 一 步 , 方 能 获得 
主动 权 。 

2.5.2 注重 证 据 , 取 证 前 置 


网 络 犯罪 的 行为 和 结果 都 具有 虚拟 性 ,其 犯罪 证 据 基 本 都 为 电子 数据 。 电 子 数据 已 经 
成 为 法 定 证 据 的 一 种 。 但 是 目前 的 网 络 犯罪 打击 ,存在 重 结果 、 轻 证 据 ; 重 传 统 证 据 , 轻 电 
子 数 据 的 现象 。 网 络 犯 罪 的 证 据 存 在 易 失 性 ,如 果 不 在 案件 侦查 初期 就 重视 收集 、 固 定 证 
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据 , 按 照 传统 办 案 思路 ,在 抓获 嫌疑 人 后 再 固定 证 据 ,那么 大 量 的 电子 数据 会 灭失 ,证据 链 往 
往 无 法 形成 。 这 也 是 目前 网 络 犯罪 的 诉讼 往往 量刑 过 轻 、 甚 至 无 法 办 结 的 原因 所 在 。 打 击 
网 络 犯罪 要 树立 证 据 前 置 的 原则 ,将 证 据 放置 在 第 一 位 的 地 位 ,这 样 才能 利用 电子 数据 将 嫌 
疑 人 在 网 络 的 行为 勾勒 清楚 ,形成 完整 的 证 据 链 。 


2.5.3 技术 领先 ,思路 正确 


高 超 的 侦查 技术 和 正确 的 侦查 思路 是 能 够 极 大 提高 网 络 犯罪 侦查 效率 的 两 大 支撑 。 由 
于 网 络 犯罪 利用 技术 进行 ,具有 很 高 的 智能 性 ,同时 网 络 对 于 身份 的 隐藏 也 是 逃避 打击 的 天 
然 屏 障 。 因 此 对 于 网 络 犯罪 的 侦查 涉及 很 多 技术 问题 。 网 络 犯罪 侦查 需要 技术 侦查 充分 有 
效 , 才 能 提取 出 重要 的 线索 ,缩短 打击 过 程 。 同 时 依照 正确 的 侦查 思路 ,可 以 快速 地 判断 犯 
罪 活动 的 前 因 后 果 、 犯 罪 分 子 的 逃脱 方向 。 侦 查 技术 和 侦查 思路 是 相辅相成 的 ,侦查 思路 在 
没有 侦查 技术 的 帮助 下 ,无 从 判断 嫌疑 人 的 情况 。 当 侦查 技术 出 现 障 碍 的 时 候 , 侦查 思路 往 
往 可 以 找到 突破 。 


2.5.4 加 强 合作 ,通力 配合 


网 络 犯罪 往往 是 跨 地 域 甚至 是 跨国 界 的 。 网 络 犯罪 侦查 往往 不 是 一 个 地 区 所 能 处 置 
的 ,还 有 可 能 跨越 执法 部 门 ,因此 与 其 他 地 区 的 执法 部 门 沟通 配合 是 不 可 缺少 的 。 不 同 国 
家 、 地 区 的 执法 部 门 要 摆脱 "地方 保 护 主义 ”, 相 互 协作 ,通过 迅速 有 效 的 沟通 和 协查 ,了 解 犯 
罪 分 子 的 作案 方法 ,有 效 地 开展 侦查 工作 。 


2.6 网 络 犯 罪 侦 查 人 员 的 素质 要 求 


2.6.1 严谨 认 真 的 煞 业 精神 严格 公正 的 态度 


网 络 犯罪 侦查 人 员 需 要 对 相关 的 法 律 法 规 等 有 所 了 解 , 这 样 才能 在 案件 定性 上 符合 法 
律 的 要 求 。 在 侦查 过 程 中 ,遵守 相关 法 律 法 规 的 规定 ,以 法 律 为 准绳 ` 以 事实 为 依据 ,做 到 秉 
公 执 法 ,确保 结果 的 公正 性 。 牢 记 证 据 观 念 ,切记 “过程 违法 、 结 果 违 法 ”。 侦 查 过 程 中 往往 
会 涉及 虚拟 物品 甚至 网 络 交易 账号 的 提取 ,侦查 员 要 能 抵御 利益 的 诱惑 ,恪守 职业 操守 。 同 
时 能 够 抵御 内 部 和 外 部 的 压力 ,不 能 徇私 舞 吉 贪赃 枉法 。 


2.6.2 扎实 的 专业 基础 ,系统 地 学 习 计 算 机 网 络 专业 知识 


从 事 网 络 犯罪 的 犯罪 分 子 即 使 不 具备 专业 知识 ,最 起 码 也 了 解 技术 常识 。 犯 罪 分 子 不 
害怕 侦查 部 门 的 装备 ,而 更 避 惧 侦查 人 员 技 术 的 提高 。 因 此 网 络 犯罪 侦查 的 执法 人 员 没 有 
理由 不 去 学 习 、 掌 握 计算 机 网 络 知识 。 计 算 机 网 络 知识 并 不 是 高 不 可 攀 的 ,网 络 犯 罪 侦 查 本 
身 就 是 一 个 不 断 学 习 的 过 程 。 
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网 络 犯 罪 侦 查 要 建立 行 之 有 效 的 培训 机 制 。 公 安 院 校 通过 开设 网 络 犯罪 侦查 专业 , 培 
养 既 懂 计 算 机 网 络 知识 ,又 具有 侦查 思维 的 专业 人 才 。 在 侦查 机 关内 部 ,也 要 顺应 网 络 时 代 
的 需求 ,加 强 对 侦查 人 员 的 培训 。 在 当前 “学 习 型 "的 社会 ,每 个 网 络 犯罪 侦查 人 员 应 当 抱 着 
“ 干 到 老 , 学 到 老 ” 的 工作 态度 ,不 要 过 分 依赖 设备 。 非 专业 侦查 人 员 从 计算 机 网 络 常识 着 
手 ,在 工作 中 边 干 边 学 ,提高 自身 技术 水 平 。 专 业 出 身 的 侦查 人 员 也 不 能 放弃 对 自身 专业 技 
能 的 提高 。 只 有 技术 水 平 提高 ,才能 善于 发 现 犯 罪 分 子 的 蛛丝马迹 ,在 打击 时 游 力 有 余 。 


2.6.3 敏感 而 准确 的 侦查 意识 ,意识 与 技术 达到 完美 的 结合 


技术 和 意识 如 同 网 络 犯罪 侦查 天 平 的 两 个 托盘 ,要 达到 完美 的 平衡 。 不 要 为 了 追求 技 
术 的 极致 ,而 放弃 了 意识 的 挖掘 .“ 机 房 里 飞 不 出 金 凤凰 ”了 , 对 于 具有 时 间 瞬 时 性 、 空 间 隐 
蔽 性 特点 的 网 络 犯罪 案件 。 侦 查 员 在 具有 扎实 的 专业 知识 的 基础 上 ,要 具备 侦查 思维 ,善于 
运用 侦查 谋略 。 复 合 型 的 网 络 犯罪 侦查 人 才 是 解决 网 络 犯罪 困境 的 前 提 , 网 络 犯罪 侦查 “ 抓 
贼 的 没有 当 贼 的 能 力 强 ”, 又 何 谈 有 效 地 打击 网 络 犯罪 ? 


2.7 本 章 小 结 


网 络 犯 罪 借 助 技 术 的 发 展 更 加 隐蔽 ,同时 变化 形式 多 样 ,没有 规律 可 循 ,给 网 络 犯 罪 侦 查 
带 来 了 严峻 的 挑战 。 网 络 犯罪 侦查 机 关 由 于 侦查 技术 和 意识 的 不 适应 ,在 现实 斗争 中 处 于 下 
风 。 因 此 ,需要 确定 网 络 犯罪 侦查 的 原则 和 任务 ,健全 法 制 法 规 , 建 立行 之 有 效 的 网 络 犯罪 侦 
查 机 制 ,培养 复合 型 的 网 络 犯罪 侦查 人 才 , 方 能 变 被 动 为 主动 .有效 遏 制 网 络 犯罪 的 蔓延 。 


思 考 题 


. 具有 刑事 侦查 权 的 有 哪些 部 门 ? 

简 述 网 络 犯罪 的 概念 。 

. 简 述 英美 两 国 网 络 犯罪 侦查 的 主体 。 
简 述 我 国 网 络 犯罪 侦查 的 主体 。 

我 国 针 对 网 络 犯罪 侦查 的 法 律 有 哪些 ? 
简 述 网 络 犯罪 侦查 面 对 的 问题 。 

简 述 网 络 犯罪 侦查 的 原则 。 

. 简 述 网 络 犯罪 侦查 的 任务 。 

简 述 网 络 犯罪 人 员 的 素质 要 求 。 


到 


习 


了 oo 中 世情 忆 


习 


中 ”腾讯 安全 管理 部 汤 锦 淮 , 互 联网 刑事 法 制 高 峰 论坛 2015。 


网 络 犯 罪 的 法 律 规 制 


本 章 学 习 目 标 

。 境外 国家 网 络 犯 罪 的 法 律 规制 
。 我 国 网 络 犯 界 的 法 律 规制 

。 计算 机 网 络 作为 目标 的 法 律 规制 
。 计算 机 网 络 作为 工具 的 法 律 规制 
。 网 络 犯罪 的 刑事 程序 法 律 规制 
。 网 络 犯 罪 的 电子 数据 法 律 规制 


法 律 规制 是 依法 惩治 网 络 犯罪 的 前 提 和 基础 。 在 打击 网 络 犯罪 时 ,各 国 国 情 以 及 所 要 
规范 的 对 象 会 成 为 影响 法 律 规制 的 重要 因素 。 在 我 国法 律 层 面 ,对 网 络 犯罪 的 法 律 规制 的 
理解 需要 从 实体 法 规范 ,程序 法 规范 和 证 据 规 则 三 个 角度 进行 。 对 于 网 络 犯罪 的 立法 ,我 国 
设立 刑法 ,刑事 诉讼 法 ,司法 解释 以 及 规范 性 文件 ,这 些 规范 共同 构建 起 我 国 网 络 犯罪 的 法 
律 规制 体系 。 

本 章 通 过 对 各 国立 法 的 背景 进行 介绍 ,简要 概括 网 络 犯 罪 的 法 律 规制 的 模式 选择 ,阐述 
我 国 各 项 网 络 犯罪 的 相关 法 律 法 规 及 有 关 规 定 , 重 点 解读 立法 过 程 和 立法 意图 ,以 帮助 读者 
系统 了 解 并 掌握 我 国 网 络 犯罪 的 法 律 规制 体系 。 


3.1 网 络 犯罪 的 法 律 规制 概述 


世界 各 国 的 主要 法 律 体系 主要 分 为 大 陆 法 系 和 英美 法 系 。 大 陆 法 系 一 直 以 来 都 有 以 成 
文法 立法 的 传统 ,针对 法 律 所 调整 的 对 象 不 同 ,划分 不 同 的 部 门 法 ,各 部 门 法 之 间 相 互 协助 、 
相互 依存 ,共同 形成 统一 的 ,完整 的 立法 体系 。 英 美 法 系 虽然 也 有 成 文法 ,但 是 需要 判例 来 
充实 实体 法 的 内 容 , 实 质 上 依然 是 判例 法 。 法 官 审 理 案 件 时 ,并 不 是 依据 成 文法 法 条 进行 演 
绎 ,而 是 先前 的 判例 和 相关 的 法 律 精神 。 在 这 种 模式 下 ,英美 法 系 经 常会 根据 不 同 的 情况 产 
生 新 的 判例 或 者 指定 特别 法 ,以 更 新 或 者 丰富 法 律 规范 体系 。 

我 国 属于 大 陆 法 系 国家 ,刑事 立法 在 总 体 上 也 是 遵循 成 文法 的 立法 传统 。 虽 然 各 级 法 
院 也 会 针对 办 案 实践 定期 出 台 指 导 性 判例 ,但 是 这 些 判 例 的 主要 作用 是 为 了 实现 各 地 以 及 
各 级 法 院 之 间 对 法 律 适用 的 统一 性 ,指导 各 级 法 院 正确 理解 和 适用 相关 法 律 法 规 , 而 非 英美 
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法 系 国家 的 “判例 法 "性质 。 我 国 的 网 络 犯罪 的 法 律 规制 属于 刑事 立法 的 范畴 ,也 是 遵循 成 
文法 的 立法 模式 。 因 此 在 办 理 网 络 犯罪 案件 时 ,只 能 以 各 项 成 文法 作为 法 律 依据 。 相 关 法 
律 体系 的 完善 ,也 是 以 制定 和 修改 成 文法 为 途径 。 


3.1.1 境外 网 络 犯罪 的 法 律 规制 


网 络 无 国界 ,各 国 面 对 的 网 络 犯罪 形式 近似 。 因 此 ,在 当今 时 代 背 景 下 ,网 络 犯罪 的 法 
律 规 制 已 然 成 为 世界 各 国 的 共同 话题 ,各 国政 府 都 制定 了 针对 网 络 犯罪 的 法 律 法 规 。 这 些 
法 律 法 规 有 些 是 以 专门 法 形式 出 现 , 有 些 是 以 原 有 法 律 增加 条 款 的 形式 出 现 。 究 竟 哪 种 形 
式 能 更 有 效 地 遏制 网 络 犯罪 ,至今 还 未 有 一 个 定论 。 如 同 网 络 发 展 方兴未艾 ,网 络 犯 罪 的 法 
律 规 制 也 处 于 不 停 的 发 展 过 程 中 。 

1. 国际 公约 

在 20 世纪 80 年 代 , 欧 洲 理事 会 开始 呼吁 要 更 多 地 关注 黑客 行为 和 计算 机 相关 犯罪 给 
国际 社会 所 带 来 的 威胁 ,1997 年 欧洲 理事 会 建立 了 网 络 犯罪 专家 委员 会 ,并 开始 起 草 ( 网 络 
犯罪 公约 (以 下 简称 (公约 )) 《公约 》 涵 盖 刑 事实 体 法 、 程 序 法 和 国际 协作 等 内 容 , 在 2001 
年 11 月 8 日 获 欧洲 理事 会 部 长 委员 会 通过 ,26 个 欧盟 成 员 国 以 及 美国 .加 拿 大、 日 本 和 南 
非 等 30 个 国家 在 布达佩斯 签署 。 按 照 ( 网 络 犯罪 公约 》 的 规定 ,网 络 犯罪 分 为 四 类 ,具体 包 
括 : 纯粹 的 网 络 犯罪 , 即 以 非法 入侵 、 非 法 干预 ,删改 数据 、 删 改 系 统 、 滥 用 设备 等 方式 实施 
的 损害 互联 网 通信 秘密 性 ,完整 性 和 可 用 性 的 犯罪 行为 ; 通过 互联 网 实施 的 诈骗 伪造 等 传 
统 的 犯罪 行为 ; 通过 互联 网 传播 非法 内 容 的 犯罪 行为 ; 通过 互联 网 实施 的 知识 产权 犯罪 
行为 。 

《公约 》 从 破坏 计算 机 数据 和 系统 的 保密 性 、 完 整 性 和 可 用 性 的 犯罪 .与 计算 机 相关 的 犯 
罪 和 与 内 容 相 关 的 犯罪 等 几 个 方面 ,规定 了 各 成 员 国 打击 信息 网 络 犯罪 的 立法 义务 ,是 世界 
上 最 早 也 是 目前 影响 范围 最 广 .最 重要 的 打击 网 络 犯罪 的 国际 公约 ,目前 已 经 成 为 世界 主要 
国家 的 立法 范本 。 

2009 年 4 月 20 日 ,欧盟 在 捷克 首都 布拉格 通过 (布拉格 宣言 ), 要求 各 成 员 国 加 强 协 
调 , 促 进 打击 网 络 犯 罪 的 国际 合作 ,保证 互联 网 的 安全 。 

2011 年 5 月 ,由 “ 美 . 英 、 德 ,法 、 意 ,加 、 日 和 俄罗斯 "组 成 的 “八国 集团 ”通过 (多 维尔 宣 
言 ), 强 调 互 联网 自由 、 开 放 和 同名 ,尊重 公民 隐私 和 保护 知识 产权 ,维护 网 络 安 全 和 打击 网 
络 犯罪 。 

2. 美国 

互联 网 最 早 发 展 起 来 的 美国 是 面临 网 络 犯罪 冲击 最 时 ,也 是 最 先 制定 网 络 犯 罪 法 律 规 
制 的 国家 。 作 为 一 项 新 兴 事 物 , 美 国 是 需要 制定 一 套 特 殊 的 法 律 ,还 是 对 现实 空间 的 法 律 作 
一 些 调整 ? 曾经 引起 了 很 大 的 争议 D。 对 此 ,法 官 弗 兰 克 … 伊 斯 特 布鲁克 曾经 指出 : 正如 


加 此 争议 也 广泛 地 发 生 于 世界 各 国 网 络 犯罪 法 律 制定 过 程 中 。 
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没有 必要 制定 “ 马 法 ”(Law of House) 一 样 ,也 没有 必要 制订 “网 络 法 ”D。 这 就 是 著名 的 “ 马 
法 非法 @” 之 争 。1997 年 10 月 ,美国 (时 代 ) 周 刊 以 “隐私 之 死 " 作 为 封面 标题 指出 了 信息 时 
代 隐 私 保护 的 重大 难题 。 网 络 犯罪 已 经 给 美国 社会 带 来 了 巨大 的 危害 ,立法 的 呼声 占据 上 
风 。“ 马 法 非法 ”之 争 的 结论 显而易见 。 

1970 年 ,美国 颁布 了 《金融 秘密 权利 法 》, 对 于 金融 行业 保管 的 信息 数据 进行 了 规范 。 
1977 年 制定 (联邦 计算 机 系统 保护 法 》, 首 次 将 计算 机 系统 纳入 法 律 。1978 年 ,美国 弗 罗 里 
达州 制定 了 第 一 部 计算 机 犯罪 法 ,规定 了 计算 机 犯罪 的 具体 形式 。 随 后 ,美国 各 州 相继 颁布 
了 计算 机 犯罪 法 。1984 年 1 月 ,美国 修改 了 刑法 典 ,在 第 18 篇 第 47 章 中 规定 计算 机 犯罪 ， 
其 中 具体 包括 下 列 行为 :“(1) 自 计算 机 取得 机 密 情报 罪 ; (2) 自 计算 机 取得 金钱 或 信用 情 
报 罪 ; (3) 妨 害 联邦 计算 机 系统 罪 .”@ 

1984 年 10 月 ,里 根 总 统 签署 了 美国 第 一 部 联邦 计算 机 犯罪 的 成 文法 (伪装 进入 设施 和 
计算 机 欺诈 及 滥用 法 》 1986 年 又 颁布 了 《计算 机 诈骗 和 滥用 法 ,将 非法 活动 分 为 四 类 ,分 
别 是 :“(1) 任 何 无 授权 的 读 取 系统 ,尤其 是 读 取 绝密 文件 或 机 密 政府 文件 ; (2) 非 法 读 取 财 
物 方面 信息 ;3) 任 何 无 授权 的 读 取 任何 美国 政府 的 计算 机 ; (4) 有 目的 地 买卖 非法 的 信息 
数据 .”@1994 年 ,美国 议会 通过 了 《计算 机 滥用 修正 法 案 》。 

在 最 初 ,美国 在 网 络 犯 罪 方 面 的 立法 是 将 重点 放 在 未 经 许可 而 故意 进入 联邦 计算 机 的 
行为 上 。1993 年 以 后 , 则 扩大 了 网 络 犯罪 的 责任 范围 ,并 开始 为 网 络 犯罪 的 受害 者 提供 民 
事 补偿 。 自 此 之 后 ,美国 开始 不 断 构建 和 完善 网 络 犯罪 的 法 律 规制 的 体系 并 始终 走 在 世界 
前 列 。 

到 目前 为 止 ,美国 联邦 立法 出 台 的 涉及 打击 网 络 犯 罪 的 法 案 共 包括 以 下 几 项 ;《 美 国联 
邦 计 算 机 欺诈 与 滥用 法 案 》(Computer Fraud and Abuse Act，18 USC 1001 note) ,该 法 案 
旨 在 对 利用 计算 机 和 接 入 设备 的 欺诈 及 相关 行为 提供 额外 的 惩罚 ; 《美国 联邦 计算 机 安全 
法 案 》(Computer Security Act of 1987. PL 100 一 235. January 8, 1988, 101 Stat 1724) ,该 
法 案 旨 在 为 国家 标准 局 提供 计算 机 程序 的 标准 ,为 政府 计算 机 网 络 提供 安全 保障 ,为 管理 、 
操作 、 使 用 联邦 计算 机 系统 的 安全 事务 人 员 提 供 培训 以 及 其 他 目的 ;《 美 国联 邦 禁 止 电子 咨 
窃 法 案 》(No Electronic Theft (NET) Act. 105th Congress 一 First Session Convening 
January 7,1997) ,该 法 案 的 目的 在 于 修订 美国 法 典 第 17 部 和 第 18 部 ,通过 修订 刑法 来 给 予 


D Frank Easterbrook. Cyber and The Law of House. University of Chicago law forum, 1996: 207 

@ ”美国 联邦 上 诉 法 院 的 法 官 弗兰克 … 伊 斯 特 布鲁克 提出 “ 马 法 非法 ”"。 他 认为 ,网 络 法 的 意义 就 同 * 马 法 ”一 一 即 
关于 马 的 法 律 一 一 差不多 .“ 马 法 "是 一 个 必要 的 法 律 部 门 吗 ? 显然 是 否定 的 。 马 的 所 有 权 问 题 由 财产 法 规范 , 马 的 买 
卖 问题 由 交易 法 管束 , 马 踢 伤 人 分 清 责任 要 找 侵权 法 , 马 的 品种 .许可 证 .估价 和 治 病 均 有 相应 部 门 法 处 理 …… 如 果 有 人 
企图 将 之 汇集 为 一 部 “ 马 法 ”, 那 将 极 大 地 损害 法 律 体系 的 统一 性 。 他 指出 ,Internet 引起 的 法 律 问题 具有 同样 的 性 质 。 
网 络 空间 的 许多 行为 很 容易 归 入 传统 法 律 体系 加 以 调整 。 为 了 网 络 而 人 为 地 裁减 现行 法 律 、 创 制 网 络 法 ,不 过 是 别 出 心 
裁 ,没有 任何 积极 意义 。 

图 刘 广 三 .计算 机 犯罪 论 . 北京 : 中 国人 民 大 学 出 版 社 1999: 140-142 

轿 [ 英 ] 尼 尔 * 巴 雷 特 .数字 化 犯罪 . 北京 : 郝 海 洋 , 译 . 沈阳 : 辽宁 教育 出 版 社 ,1998: 113 
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著作 权 更 大 的 保护 ;《 美 国联 邦 禁止 网 上 攻击 者 法 案 ) (Deleting Online Predators Act of 
2006) ,该 法 案 旨 在 修改 1934 年 通信 法 ,以 保护 在 商业 社交 网 站 和 聊天 室 的 未 成 年 人 利益 ; 
《美国 联邦 非法 互联 网 赌博 执行 法 案 》(Unlawful Internet Gambling Enforcement Act of 
2006) ,该 法 案 旨 在 加 强 联 邦 对 非法 互联 网 赌博 的 打击 力度 。 在 (美国 联邦 刑法 与 刑事 诉讼 
法 )(United States Crimes and Crininal Procedure) 的 “刑法 ”部 分 ,也 有 多 项 规定 与 网 络 犯 
罪行 为 有 关 。 

3. 欧洲 国家 

欧盟 的 多 数 国家 , 自 20 世纪 八 九 十 年 代 起 就 开始 针对 其 国内 刑法 是 否 能 够 适用 于 信息 
网 络 技术 实施 的 新 型 犯罪 进行 审视 和 研究 ,并 对 其 刑法 进行 适当 的 修改 ,发 展 和 补充 。 其 
中 ,法 国 、 德 国 .丹麦 .奥地利 瑞典 等 国 分 别 不 同 程度 地 对 其 本 国 刑法 的 罪名 体系 进行 了 修 
改 ; 而 英国 、 葡 菊 牙 .西班牙 等 国 则 只 是 在 原 有 刑法 基础 上 对 计算 机 犯罪 进行 了 增补 。 总 体 
来 讲 , 欧 洲 大 多 数 国家 实际 上 已 经 具备 了 比较 完整 的 网 络 犯 罪 罪 名 体系 。 

例如 ,德国 在 1986 年 8 月 1 日 对 其 刑法 进行 了 修正 ,加 入 了 有 关 防 治 计算 机 犯罪 的 各 
项 规定 ,主要 包括 计算 机 欺诈 罪 \ 资 料 伪 造 罪 、 刺 探 资料 罪 、 变 更 资料 罪 计算 机 破坏 罪 等 。 
2007 年 8 月 7 日 德国 “为 打击 计算 机 犯罪 的 (刑法 ) 第 41 修正 案 ” 获 得 通过 ,该 修正 案 完 成 
了 欧洲 理事 会 (关于 网 络 犯罪 的 公约 ) 和 欧盟 委员 会 (关于 打击 计算 机 犯罪 的 框架 决议 ) 在 德 
国 刑法 中 的 移植 。《 修 正 案 ) 生 效 后 德国 网 络 犯 罪 立 法 对 侵犯 计算 机 数据 和 信息 系统 安全 的 
犯罪 规定 了 窥探 数据 .拦截 数据 ,预备 窥探 和 拦截 数据 .变更 数据 以 及 破坏 计算 机 五 个 方面 
的 行为 与 罪名 。 德 国 没有 一 味 追 求 最 高 标准 的 网 络 犯罪 立法 ,而 是 在 国际 公约 允许 的 范围 
内 ,根据 本 国 网 络 犯罪 状况 和 本 国 刑事 政策 进行 修改 网 络 犯罪 立法 ,其 突出 的 特点 是 轻 罪 处 
罚 轻 缓 ,重罪 处 罚 严厉 。 作 为 德国 刑法 的 一 贯 特点 .《 修 正 案 ) 对 各 罪 罪 状 的 描述 和 使 用 术语 
规定 得 十 分 明确 和 准确 ,区 分 不 同 危 害 程度 的 犯罪 情节 并 设置 差别 化 的 刑罚 ,这 些 都 是 德国 
网 络 犯罪 立法 值得 借鉴 之 处 D。 

欧洲 另 一 个 比较 有 代表 性 的 国家 是 法 国 。 现 行 ( 法 国 刑法 典 》 于 1994 年 3 月 1 日 生效 ， 
其 中 第 3 卷 第 3 编 第 3 章 专 章 规定 了 “侵犯 资料 自动 处 理 系 统 罪 ”, 分 别 对 侵害 计算 机 信息 
系统 、 侵 害 计算 机 存储 数据 以 及 相关 特殊 行为 的 处 罚 进 行 了 规定 。 其 中 ,对 于 针对 计算 机 信 
息 系 统 实施 的 犯罪 《法 国 刑法 典 》 用 比较 系统 的 篇 幅 对 非法 侵入 计算 机 信息 系统 、 破 坏 计 算 
机 信息 系统 的 行为 进行 了 规定 ,具体 包括 “非法 侵入 系统 或 者 在 系统 中 非法 停留 "(第 323-1 
条 第 1 款 ) 和 “破坏 计算 机 信息 系统 "(第 323-1 条 第 2 款 ) 两 类 犯罪 行为 。 此 外 ,对 于 针对 计 
算 机 存储 数据 实施 的 犯罪 《法 国 刑 法 典 ) 将 这 一 类 型 犯罪 分 为 两 种 情况 分 别 加 以 规定 ,具体 
为 “破坏 存储 数据 犯罪 (第 323-1 条 第 2 款 ) 和 "非法 输入 数据 犯罪 ”( 第 323-3 条 ) 。 同 时 ,该 
法 还 通过 特殊 条 款 , 对 网 络 犯 罪 的 组 织 形态 、 犯 罪 停止 形态 的 处 罚 作出 了 规定 ,如 对 网 络 犯 
罪 未 遂 的 处 罚 、 对 网 络 犯 罪 集团 的 处 罚 等 。 
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4. 亚洲 国家 

亚洲 拥有 世界 上 最 多 的 网 民 , 网 络 犯罪 也 因此 成 为 困扰 亚洲 各 国 的 难题 之 一 。 日 本 、 印 
度 .韩国 等 亚洲 各 国 和 地 区 都 纷纷 尝试 进行 网 络 犯罪 的 法 律 规制 体系 的 构建 和 完善 。 

1) 日 本 

作为 大 陆 法 系 的 代表 性 国家 ,日 本 在 关于 网 络 犯罪 的 立法 模式 与 内 容 上 基本 沿袭 了 德 
国 的 相关 立法 经 验 。1987 年 日 本 通过 刑法 修正 案 出 台 了 第 一 部 关于 网 络 犯罪 的 规范 ,对 于 
“电磁 记录 ”文书 ”等 信息 时 代 的 新 概念 进行 界定 。 此 次 修改 ,奠定 了 日 本 关于 网 络 犯罪 的 
法 律 规制 的 罪名 体系 。 在 内 容 上 ,日 本 刑法 典 中 关于 网 络 犯罪 的 罪名 主要 包括 : 损害 电子 
计算 机 系统 等 妨害 计算 机 系统 罪 2; 毁弃 文书 罪 ; 非法 制作 和 提供 电磁 记录 罪 ; 计算 机 其 
诈 罪 等 罪名 。 

2) 韩国 

在 当前 的 韩国 刑法 中 ,网 络 不 良 行 为 的 罪名 主要 有 第 316 条 第 2 项 “侵犯 隐私 罪 ”、 第 
314 条 第 2 项 “电脑 等 业务 妨害 罪 ”、 第 366 条 “电脑 损坏 罪 `、 第 347 条 “电脑 等 使 用 欺诈 
罪 ”。 

除 刑法 之 外 ,韩国 国会 于 2000 年 12 月 通过 了 《信息 通信 的 基本 保护 法 》(2001 年 7 月 1 
日 开始 实行 ) ,该 法 的 出 现 主要 是 针对 黑客 .病毒 等 电子 侵害 行为 在 网 上 和 肆虐 的 问题 ,而 当时 
的 处 理 措施 缺乏 综合 性 、 系 统 性 。 

此 后 ,2008 年 韩国 修订 了 《信息 通信 和 网 的 利用 促进 以 及 信息 保护 等 相关 法 (简称 (信息 
通信 网 法 )) ,开始 对 与 信息 通信 网 相关 的 网 络 念 怖 行为 进行 定罪 ,主要 追究 那些 “没有 正当 
的 接近 权限 或 超出 已 有 的 接近 权限 侵入 信息 通信 网 ”的 行为 ,具体 来 说 ,可 以 构成 以 下 几 项 
罪名 : 信息 通信 网 侵入 罪 、 信 息 通信 和 网 隐私 侵害 罪 \ 信 息 通信 和 网 信息 毁损 罪 、 恶 性 程序 传播 
罪 、 个 人 信息 无 端 使 用 罪 、 网 络 淫秽 物 以 及 信息 通信 和 网 淫秽 符号 的 传播 罪 、 违 反 青 少年 有 害 
媒体 物 标 示 罪 .信息 通信 网 利用 的 公众 心理 造成 罪 . 网 络 公 害 犯 罪 . 网 络 名 人 誉 损害 罪 .ID 咨 
用 罪 等 。 


3.1.2 中 国 网 络 犯罪 的 法 律 规制 


法 律 是 社会 关系 的 调节 器 ,这 一 点 对 网 络 社会 也 同样 适用 。 完 善 、 合 理 的 法 律 规 范 可 以 
有 效 地 预防 和 打击 网 络 犯罪 行为 ,保障 国家 和 公民 的 合法 权益 ,维护 网 络 社会 的 正常 秩序 。 

1. 中 国 大 陆 

1980 一 1997 年 ,这 一 阶段 属于 计算 机 发 展 阶 段 。1981 年 公安 部 成 立 了 计算 机 安全 监察 
机 构 ,并 着 手 开始 制定 有 关 计 算 机 安全 方面 的 法 律 法 规 和 规章 制度 。1986 年 4 月 开始 草拟 
《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 江 征求 意见 稿 ) 。1989 年 ,在 重庆 发 现 了 首 
例 计算 机 病毒 ,随后 公安 部 发 布 了 计算 机 病毒 控制 规定 (草案 )》, 并 开始 推行 “计算 机 病毒 


损害 电子 计算 机 系统 等 妨害 计算 机 系统 罪 后 来 被 指责 过 于 宽泛 而 被 修改 。 
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研究 和 计算 机 病毒 防治 产品 销售 许可 证 ”制度 。1991 年 5 月 24 日 ,国务 院 第 八 十 三 次 常委 
会 依照 (中 华人 民 共 和 国 著作 权 法 ) 的 规定 制定 并 通过 了 《计算 机 软件 保护 条 例 ), 这 是 我 国 
第 一 部 有 关 计 算 机 的 法 律 。1992 年 4 月 6 日 ,机 械 电 子 工业 部 发 布 了 《计算 机 软件 著作 权 
登记 办 法 ,规定 了 计算 机 软件 著作 权 管 理 的 细则 。1994 年 2 月 18 日 ,国务 院 发 布 了 (中 华 
人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 为 保护 计算 机 信息 系统 的 安全 ,促进 计算 机 的 
应 用 和 发 展 ,保障 经 济 建设 的 顺利 进行 提供 了 法 律 保障 。1996 年 2 月 1 日 国务 院 发 布 了 
《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 》, 提 出 了 对 国际 联网 实行 统筹 规 
划 、 统 一 标准 、 分 级 管理 .促进 发 展 的 基本 原则 。 

1997 年 10 月 1 日 ,我 国 对 (刑法 ) 进 行 修改 ,第 一 次 增加 了 计算 机 犯罪 的 罪名 ,包括 非 
法 侵入 计算 机 信息 系统 罪 , 破 坏 计算 机 系统 功能 罪 ,破坏 计算 机 系统 数据 罪 。 这 标志 着 我 国 
对 计算 机 及 网 络 管理 的 法 制 体系 建设 进入 了 一 个 新 的 阶段 。 

2000 年 ,我 国 进一步 加 快 了 计算 机 与 网 络 立法 的 步伐 。 为 了 规范 电信 市 场 秩序 ,维护 
电信 用 户 和 电信 业务 经 营 者 的 合法 权益 ,保障 电信 网 络 信息 的 安全 ,促进 电信 事业 的 健康 发 
展 , 国 务 院 于 9 月 20 日 通过 了 《中 华人 民 共 和 国电 信条 例 》。 同 年 10 月 ,为 了 加 强 对 互联 网 
内 容 服 务 的 监督 管理 ,防止 有 害 信息 危害 社会 ,尤其 是 对 国家 安全 、 社 会 稳定 和 公共 秩序 造 
成 危害 ,国务 院 专门 起 草 了 《关于 维护 网 络 安全 和 信息 安全 的 决定 (草案 )》, 并 提请 全 国人 大 
常委 会 审议 。 之 后 ,为 维护 国家 安全 和 社会 稳定 ,保障 网 络 安全 ,维护 社会 主义 市 场 经 济 秩 
序 和 社会 管理 秩序 ,保护 公民 .法 人 和 其 他 组 织 的 合法 权益 等 四 个 方面 出 发 ,国务 院 发 布 了 
《互联 网 信息 服务 管理 办 法 》。2000 年 12 月 28 日 , 九 届 全 国人 大 常委 会 第 十 九 次 会 议 表决 
通过 《全国 人民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 )。 自 此 掀 开 了 我 国 在 新 世 
纪 对 计算 机 和 网 络 加 强 立 法 的 序幕 。 

2009 年 2 月 28 日 ,中 华人 民 共和 国 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 第 七 次 会 
议 审议 通过 (中 华人 民 共 和 国 刑法 修正 案 ( 七 )》( 以 下 简称 (刑法 修正 案 (七 )》 或 4 修 七 》 ,并 
于 公布 之 日 实施 .《 刑 法 修正 案 (七 )》 针 对 网 络 犯罪 ,增设 非法 获取 计算 机 信息 系统 数据 、 控 
制 计算 机 信息 系统 罪 和 提供 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 罪 两 项 新 的 网 络 犯 
罪 罪 名 。 在 《刑法 修正 案 ( 七 )) 实 施 之 后 ,最 高 人 民法 院 \ 最 高 人 民 检 察 院 于 2011 年 8 月 30 
日 ,发布 了 《最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 
用 法 律 若干 问题 的 解释 )。《 危 害 计 算 机 信息 系统 安全 犯罪 解释 ) 全 面 解释 了 危害 计算 机 信 
息 系统 安全 犯罪 的 法 律 适用 问题 ,并 且 在 诸多 问题 上 对 传统 刑法 理论 进行 了 突破 ,解决 了 长 
期 困扰 司法 实践 的 一 系列 突出 问题 。 

2015 年 8 月 29 日 ,中 华人 民 共 和 国 第 十 二 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 六 次 
会 议 通过 (中 华人 民 共 和 国 刑法 修正 案 ( 九 )》, 自 2015 年 11 月 1 日 起 施行 。.《 刑 法 修正 案 
( 九 )) 中 关于 网 络 犯罪 相关 内 容 做 出 多 项 重大 修改 .新 增 了 网 络 犯罪 预备 行为 ,网 络 犯罪 帮 
助 行为 , 拒 不 履行 信息 网 络 安全 管理 义务 等 罪名 .同时 规定 了 网 络 犯 罪 的 单位 犯罪 情形 , 利 
用 信息 网 络 传 播 虚 假 信息 等 内 容 。 
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在 程序 立法 方面 ,针对 刑事 诉讼 中 办 理 网 络 犯罪 案件 的 需要 ,也 适时 作出 了 相应 的 修 
改 。2012 年 3 月 14 日 第 十 一 届 全 国人 民 代表 大 会 第 五 次 会 议 通 过 (关于 修改 (中 华人 民 共 
和 国 刑事 诉讼 法 ) 的 决定 》, 并 于 2013 年 1 月 1 日 起 实施 ,其 中 最 重要 的 修改 之 一 就 是 将 电 
子 数据 正式 列 和 法定 的 证 据 种 类 。2012 年 11 月 5 日 ,最 高 人 民法 院 审 判 委 员 会 第 1559 次 
会 议 通 过 了 《最 高 人 民法 院 关 于 适用 二 中 华人 民 共 和 国 刑事 诉讼 法 二 的 解释 》, 并 自 2013 年 
1 月 1 日 起 与 新 的 (刑事 诉讼 法 ) 同 时 实施 。 在 新 的 ( 刑 诉 解释 ) 中 ,对 网 络 犯 罪 的 犯罪 地 界 
定 、 电 子 数据 证 据 的 范畴 和 审查 内 容 以 及 电子 数据 的 排除 规则 等 作出 了 明确 规定 。2014 年 
5 月 6 日 ,最 高 人 民法 院 \ 最 高 人 民 检 察 院 、 公 安 部 印发 了 (关于 办 理 网 络 违法 犯罪 案件 适用 
刑事 诉讼 程序 若干 问题 的 意见 》, 针 对 公安 机 关 、 人 民 检 察 院 、 人 民法 院 在 办 理 网 络 犯罪 案件 
程序 上 由 到 的 案件 管辖 不 明确 、 跨 地 域 取证 困难 、 立 案 前 可 采取 的 侦查 措施 不 明 、 电 子 数据 
取证 程序 有 待 规范 等 新 情况 .新 问题 出 台 了 一 系列 明确 意见 ,为 依法 惩治 网 络 犯罪 活动 提供 
了 有 力 的 保障 。 

除了 上 述 在 实体 法 与 程序 法 方面 进行 的 立法 活动 之 外 ,针对 一 些 传统 犯罪 行为 的 网 络 
化 ,我 国 还 相继 出 台 了 一 系列 的 司法 解释 ,以 解决 办 理 此 类 案件 时 所 面临 的 问题 。 其 中 主要 
包括 : 2004 年 和 2007 年 分 别 出 台 的 (关于 办 理 侵犯 知识 产权 刑事 案件 具体 应 用 法 律 若干 问 
题 的 解释 》 和 《关于 办 理 侵犯 知识 产权 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 (二 )》 两 个 司 
法 解释 ; 2004 年 和 2010 年 分 别 出 台 的 4 关于 办 理 利 用 互联 网 移动 通讯 终端 .声讯台 制作 、 复 
制 . 出 版 ,贩卖 ,传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若 干 问题 的 解释 》 和 《关于 办 理 利 
用 互联 网 ,移动 通讯 终端 .声讯 台 制 作 、 复 制 、 出 版 .贩卖 ,传播 淫秽 电子 信息 刑事 案件 具体 应 
用 法 律 若干 问题 的 解释 (二 )) 两 个 司法 解释 ; 2005 年 出 台 的 《关于 办 理 赌博 刑事 案件 具体 
应 用 法 律 若干 问题 的 解释 》; 2010 年 整治 网 络 赌博 专项 行动 期 间 , 最 高 法 、 最 高 检 、 公 安 部 
专门 联合 出 台 的 《关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 》 2013 年 9 月 10 
日 出 台 的 《最 高 人 民法 院 . 最 高 人 民 检 察 院 关 于 办 理 利用 信息 网 络 实施 诽谤 等 刑事 案件 适用 
法 律 若干 问题 的 解释 ) 等 。 

综 上 所 述 , 自 20 世纪 80 年 代 以 来 ,我 国 逐 渐 加 强 了 针对 计算 机 和 网 络 安全 的 立法 。 特 
别 是 自 1997 年 4 刑法》 修改 增加 网 络 犯罪 相关 罪名 以 来 ,在 近 二 十 年 的 时 间 里 ,我 国 在 实体 
法 和 程序 法 两 方面 都 逐步 加 强 了 关于 网 络 犯罪 的 立法 活动 。 随 着 刑事 立法 以 及 相关 司法 解 
释 的 出 台 与 不 断 修 改 .完善 ,我 国 关于 网 络 犯罪 的 立法 体系 正在 逐渐 形成 之 中 。 
然而 ,由 于 网 络 空间 的 虚拟 性 和 复杂 多 样 性 ,在 打击 和 治理 网 络 犯罪 的 司法 实践 中 , 仍 
然 会 有 面临 许多 新 的 情况 ,使 现 有 立法 不 可 避免 地 表现 出 一 定 程度 的 滞后 性 。 因 此 ,在 司法 
实践 中 ,一 方面 要 领会 网 络 犯罪 的 法 律 规制 的 精神 ,适时 调整 对 法 律 法 规 的 理解 ,灵活 运用 ， 
在 依法 办 案 的 前 提 下 有 效 使 用 现 有 的 法 律 法 规 和 司法 解释 ; 另 一 方面 ,执法 部 门 要 不 断 积 
累 办 案 经 验 , 总 结 在 适用 法 律 时 所 面临 的 具体 困境 ,形成 对 立法 效果 的 有 益 反 馈 , 促 进 网 络 
犯罪 的 法 律 规制 的 改进 和 完善 。 
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2. 台湾 地 区 

台湾 地 区 刑法 典 将 信息 网 络 犯罪 (台湾 地 区 刑法 典 称 " 电 脑 犯罪 ?) 单 设 一 章 , 从 非法 入 
侵 计算 机 信息 系统 或 者 相关 设备 ,非法 获取 、 破 坏 计 算 机 信息 系统 或 者 相关 设备 数据 ,非法 
干扰 计算 机 信息 系统 或 者 相关 设备 ,制作 专门 用 于 信息 网 络 犯罪 的 计算 机 程序 等 方面 规定 
了 网 络 犯罪 的 类 型 及 处 罚 方法 。 

3. 香港 地 区 

香港 地 区 在 立法 方面 ,修订 了 原 有 的 (电讯 条 例 兴 盗窃 罪 条 例 》 和 《刑事 罪行 条 例 》, 增 订 
了 一 些 新 罪行 ,扩大 了 原 有 条 例 的 适用 范围 ,形成 了 《电脑 罪行 条 例 》。 另 外 《电子 交易 条 
例 兴 版 权 条 例 兴 个 人 资料 条 例 兴 证 据 条 例 兴 防止 儿童 色情 物品 条 例 兴 非 应 邀 电子 讯息 条 
例 兴 赌博 条 例 兴 淫 训 及 不 雅 物 品 管制 条 例 》 等 也 都 有 关于 网 络 犯罪 打击 的 规定 。 

4. 澳门 地 区 

澳门 地 区 制定 了 (澳门 特区 打击 电脑 犯罪 法 》, 作 为 打击 网 络 犯 罪 的 执法 依据 。 


3.1.3 网 络 犯 罪 的 立法 模式 


从 目前 制订 和 完善 网 络 犯罪 相关 法 律 法 规 的 角度 看 ,主要 有 三 种 具体 的 立法 模式 可 供 

1. 直接 适用 当前 法 律 

将 网 络 犯罪 看 成 利用 新 工具 的 传统 犯罪 演变 (Cyber as a Tool) ,适用 现 有 的 传统 法 律 。 
这 种 模式 主张 不 必 重 新 立法 ,而 是 利用 现 有 的 法 律 来 应 对 新 的 犯罪 形式 。 因 此 ,这 种 模式 也 
被 称 为 "保守 的 立法 方式 ”。 主 张 此 立法 模式 的 观点 认为 : 网 络 虽然 被 称 为 虚拟 的 世界 ,被 
视 作 一 个 与 现实 有 着 众多 差异 的 轩 新 空间 ,但 归根 结 底 它 是 现实 生活 的 一 种 延伸 。 网 络 犯 
罪 与 现实 生活 中 的 社会 犯罪 并 没有 太 大 的 差异 ,只 不 过 犯罪 分 子 使 用 的 是 一 种 新 型 的 犯罪 
手段 。 所 以 “网 络 时 代 并 不 需要 创造 新 的 法 律 ,唯一 需要 的 是 对 现行 法 律 的 解释 作 更 加 明确 
的 界定 。” 

2. 修正 现行 法 律 

这 种 模式 主要 通过 修订 既 有 的 法 律 来 实现 ,增加 特别 条 款 ,使 之 适应 信息 化 社会 的 需 
求 ,使 其 能 够 涵盖 新 出 现 的 网 络 犯罪 行为 ,如 在 犯罪 对 象 中 加 入 计算 机 系统 、 计 算 机 网 络 等 ; 
或 者 是 在 对 其 他 传统 犯罪 的 规定 中 ,将 所 列举 的 犯罪 手段 进一步 扩充 ,在 保持 现 有 立法 的 稳 
定性 和 完整 性 基础 上 ,把 利用 计算 机 和 网 络 进行 的 犯罪 行为 也 纳入 其 中 。 这 种 模式 称 为 “ 渐 
进 的 立法 方式 ”。 主 张 这 种 模式 的 理由 是 : 其 一 ,计算 机 网 络 犯罪 与 现行 刑法 并 非 截然 不 能 
相通 ,其 犯罪 形态 仍 可 纳入 传统 刑法 体系 中 ; 其 二 ,保持 刑法 的 完整 性 ,避免 特别 法 多 如 牛 
毛 ; 其 三 ,适时 增订 足 可 维护 刑法 的 妥当 性 与 适应 性 ,达到 防治 计算 机 网 络 犯罪 的 效果 ; 其 
四 ,目前 计算 机 网 络 科技 尚未 发 展 到 极限 ,新 方法 或 技术 不 断 推出 ,专业 化 立法 结果 ,法律 本 
身 势 将 时 常 修正 。 
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3. 单独 立法 

日 于 网 络 犯罪 在 目的 方式 .手段 等 方面 所 表现 出 的 特殊 性 , 现 有 立法 的 基本 原则 和 基 
础 理论 都 不 能 很 好 地 适用 ,有 必要 单独 针对 网 络 犯罪 的 具体 情况 制定 相应 的 法 律 规范 。 选 
择 这 种 模式 ,就 是 要 制定 特别 法 ,以 单行 法 规 的 形式 打击 新 出 现 的 网 络 犯罪 。 在 对 网 络 犯罪 
全 面 认识 的 基础 上 ,针对 网 络 犯罪 的 特有 形态 .手段 ,对 网 络 犯罪 进行 专 法 规定 。 这 种 模式 
称 为 “整体 的 立法 方式 ”, 这 也 是 所 有 立法 模式 中 实现 难度 最 大 的 。 主 张 采用 这 种 立法 模式 
的 理由 是 : 其 一 ,对 计算 机 网 络 犯 罪 的 规范 ,例如 定义 .形态 .特性 .罪刑 等 ,较为 完整 而 有 
效 ; 其 二 ,易于 修订 ; 其 三 , 较 符 合 信息 立法 的 精神 。 

对 于 网 络 犯罪 而 言 ,上 述 三 种 立法 模式 各 有 利弊 。 在 具体 选择 的 时 候 , 不 仅 要 根据 本 国 
现 有 立法 体系 和 立法 模式 ,选择 与 既 有 法 律 体系 相 兼容 的 模式 ; 同时 还 要 根据 办 理 网 络 犯 
罪案 件 的 实际 情况 ,以 适应 司法 实践 的 当时 之 需 。 

从 各 国立 法 的 实践 经 验 来 看 ,第 一 种 模式 多 为 初期 应 对 网 络 犯罪 案件 时 的 选择 ,因为 受 
情势 所 人 迫 ,只 能 被 动 地 依靠 旧 有 法 律 对 新 的 犯罪 类 型 进行 规范 。 例 如 在 网 络 盗窃 、 网 络 诈骗 
等 行为 刚 出 现时 ,各 国 司 法 实践 大 多 是 以 已 有 的 盗窃 罪 和 诈骗 罪 予 以 处 罚 。 但 是 这 种 立法 
模式 在 面 对 网 络 犯罪 带 来 的 新 特点 时 ,就 会 有 所 局 限 ,导致 立法 适用 的 障碍 。 例 如 2005 年 
12 月 ,深圳 市 在 办 理 第 一 起 QQ 盗窃 案件 时 ,由 于 有 关 虚 拟 财产 的 认定 没有 相关 法 律 的 支 
持 ,无 法 使 法 院 明 确 是 否 能 以 “盗窃 罪 ” 论 处 ,因此 最 终 选 择 以 “侵犯 通信 自由 罪 " 对 相关 行为 
进行 定罪 量刑 。 因 此 ,在 适用 第 一 种 立法 模式 时 ,为 了 克服 其 “被 动 性 ”给 司法 实践 带 来 的 榴 
相 , 必 须要 适时 对 原 有 法 律 的 适用 作出 恰当 解释 。 并 且 , 当 对 相关 立法 的 经 验 积 累 和 理论 研 
究 达到 一 定 程度 的 时 候 , 便 应 开始 考虑 选择 第 二 种 模式 和 第 三 种 模式 。 

我 国 深 受 大 陆 法 系 传统 影响 。 尽 管 重新 制定 单独 的 网 络 犯罪 法 律 可 以 最 大 限度 地 覆盖 
网 络 空间 的 发 展 ,但 是 我 国信 息 产业 起 步 较 晚 ,发 展 程度 参差 不 齐 , 因 此 目前 在 立法 模式 上 
采用 的 主要 是 第 一 种 和 第 二 种 模式 , 即 “ 保 守 的 立法 方式 ”和 “渐进 的 立法 方式 "并存 。 

因此 ,侦查 机 关 在 考虑 网 络 犯罪 的 定性 ,确立 适用 的 刑法 规范 时 ,要 注意 以 下 两 种 情况 ， 

一 种 是 对 于 本 质 上 与 传统 犯罪 并 无 差异 的 网 络 犯 罪 ,应 考虑 依然 适用 旧 有 法 律 , 但 可 以 
针对 新 情况 出 台 司法 解释 ,以 指明 旧 法 在 新 情况 下 如 何 准确 适用 。 例 如 :网络 盗窃 .网 络 赌 
博 、 网 络 诈骗 等 。 这 是 依据 第 一 种 “保守 的 立法 方式 ”。 

另 一 种 是 针对 纯粹 的 危害 计算 机 信息 系统 安全 类 犯罪 。 旧 有 罪名 不 能 涵盖 此 类 新 的 犯 
类型。 考虑 到 新 设 罪 名 依然 遵循 原 有 的 刑法 基本 理论 和 基本 原则 ,在 刑法 中 单独 进行 修 
正 ,提出 新 的 条 款 , 仍 属于 原 有 刑法 立法 体系 。 这 是 依据 第 二 种 “渐进 的 立法 方式 ”。 例 如 我 
国 在 1997 年 修改 的 4 刑法》 以 及 后 来 的 (刑法 修正 案 ( 七 )》 和 《刑法 修正 案 ( 九 ) ) 两 个 修正 案 ， 
在 (刑法) 中 逐步 加 入 了 关于 网 络 犯罪 的 条 款 ,就 是 采用 了 这 种 立法 模式 。 

随 着 我 国 网 络 经 济 在 社会 发 展 的 比重 增加 ,网 络 安全 形势 更 加 严峻 。 我 国 也 根据 形势 
的 发 展 在 酝酿 推动 (网 络 安全 法 》, 在 不 久 的 将 来 ,第 三 种 模式 “整体 的 立法 方式 ”可 能 会 出 
现 ,届时 ,我 国 在 网 络 犯罪 的 法 律 规制 可 能 会 有 一 个 巨大 的 飞跃 ,并 对 未 来 的 立法 产生 深远 
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的 影响 。 


3.2 计算 机 网 络 作为 犯罪 目标 的 法 律 规制 


为 了 能 够 及 时 有 效 地 打击 网 络 犯罪 ,1997 年 (中 华人 民 共 和 国 刑法 》 增 加 第 二 百 八 十 
五 条 “非法 侵 和 人 计算 机 信息 系统 罪 ” 和 第 二 百 八 十 六 条 “破坏 计算 机 信息 系统 罪 2”。 这 是 我 
国法 律 首次 界定 网 络 犯罪 。2009 年 (中华 人民 共 和 国 刑法 修正 案 ( 七 )》 在 第 二 百 八 十 五 条 
新 增 两 款 规 定 : 第 二 款 罪 名 为 "非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 罪 ”， 
第 三 款 罪名 为 “提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 2”。2015 年 《中 华人 民 
共和 国 刑法 修正 案 ( 九 ) ) 在 第 二 百 八 十 六 条 中 新 增 * 拒 不 履行 信息 网 络 安全 管理 义务 罪 了 @”。 
上 述 网 络 犯罪 可 以 统称 为 “危害 计算 机 信息 系统 安全 犯罪 9”。 


3.2.1 计算 机 网 络 作为 目标 的 犯罪 定性 


根据 (中 华人 民 共 和 国 刑法 》 的 规定 ,对 于 计算 机 网 络 作为 目标 的 犯罪 活动 主要 以 如 下 
几 项 罪名 约束 。 

第 一 ,非法 侵入 计算 机 信息 系统 罪 。《 刑 法 ?第 二 百 八 十 五 条 第 一 款 规定 :“ 违 反 国 家 规 
定 ,侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 
或 者 拘役 ”本 罪 是 1997 年 (刑法 ) 修 改 时 就 设立 的 罪名 。 

第 二 ,非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 罪 。《 刑 法 ) 第 二 百 八 十 五 条 
第 二 款 规定 :“ 违 反 国家 规定 ,侵入 前 款 规 定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手 
段 ,获取 该 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非 
法 控制 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ， 
处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 处 罚金 ”本 罪 是 (刑法 修正 案 (七 )) 中 增设 的 罪名 。 

第 三 ,提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 。《 刑 法 》 第 二 百 八 十 五 条 第 三 
款 规定 :“ 提 供 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ,或 者 明知 他 人 实施 侵 
人 和、 非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,情节 严重 的 ,依照 前 款 
的 规定 处 罚 .” 本 罪 是 (刑法 修正 案 (七 )》 中 增设 的 罪名 。 

第 四 ,破坏 计算 机 信息 系统 罪 。《 刑 法 ?第 二 百 八 十 六 条 规定 :“ 违 反 国 家 规定 ,对 计算 
机 信息 系统 功能 进行 删除 ,修改 、 增 加 ,干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 
的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 严 重 的 ,处 五 年 以 上 有 期 徒刑 。 违 反 国 家 规 


外 《最 高 人 民法 院 关于 执行 二 中 华人 民 共 和 国 刑法 二 确定 罪名 的 规定 》。 

加 《最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 执行 二 中 华人 民 共 和 国 刑法 二 确定 罪名 的 补充 规定 (四 )》。 

图 《最 高 人 民法 院 、. 最 高 人 民 检 察 院 关 于 执行 二 中 华人 民 共 和 国 刑法 二 确定 罪名 的 补充 规定 (六 )》。 

四 《最 高 人 民法 院 、. 最 高 人 民 检 察 院 关于 办 理 危害 计算 机 信息 系统 安全 刑事 案件 应 用 法 律 若干 问题 的 解释 》 和 《 关 
于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 )( 公 通 字 10 号 ) 加 以 定义 。 
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定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操 
作 , 后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 故 意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 
机 系统 正常 运行 ,后 果 严 重 的 ,依照 第 一 款 的 规定 处 罚 .” 本 罪 与 “非法 侵 人 计算 机 信息 系统 
罪 ”一样 , 均 为 1997 年 (刑法 ) 修 改 时 首次 加 入 的 涉及 危害 计算 机 信息 系统 犯罪 的 罪名 。 

第 五 , 拒 不 履行 信息 网 络 安全 管理 义务 罪 。 本 罪 的 确立 ,是 明确 针对 网 络 服务 提供 者 的 
信息 网 络 安全 管理 义务 , 既 可 以 制裁 个 人 ,也 可 以 制裁 单位 。《 刑 法 ) 第 二 百 八 十 六 条 之 一 规 
定 :“ 网 络 服务 提供 者 不 履行 法 律 . 行 政法 规 规定 的 信息 网 络 安全 管理 义务 ,经 监管 部 门 责 
令 采 取 改 正 措施 而 拒 不 改正 ,有 下 列 情形 之 一 的 ,处 三 年 以 下 有 期 徒刑 .拘役 或 者 管制 ,并 处 
或 者 单 处 罚金 : (一 ) 致 使 违法 信息 大 量 传播 的 ; (二 ) 致 使 用 户 信息 泄露 ,造成 严重 后 果 的 ; 
(三 ) 致 使 刑事 案件 证 据 灭 失 , 情 节 严 重 的 : (四 ) 有 其 他 严重 情节 的 ”。 本 罪 是 2015 年 (刑法 
修正 案 ( 九 )》 中 增设 的 新 罪名 。 

对 于 单位 作为 网 络 犯罪 的 入 刑 ,也 是 针对 有 组 织 的 网 络 犯罪 活动 而 新 制定 的 。 我 国 计 
算 机 和 互联 网 的 发 展 进 入 了 一 个 高 速 发 展 时 期 。 移 动 互联 网 、 智 能 设备 以 及 相关 的 互联 网 
服务 ,逐渐 替代 了 传统 的 以 固定 终端 和 软件 构成 的 计算 机 信息 系统 应 用 体系 ,成 为 整个 社会 
的 主流 ,中 国 进入 了 "互联 网 十 ”时 代 。 在 这 种 时 代 背 景 下 ,网络 犯 罪行 为 也 发 生 了 巨大 的 变 
化 ,主要 表现 在 以 下 两 个 方面 。 一 方面 ,犯罪 主体 的 类 型 正在 发 生变 化 。 过 去 危害 计算 机 信 
息 系统 犯罪 的 主体 多 以 个 人 为 主 ,而 随 着 互联 网 所 带 来 的 经 济 利益 的 规模 不 断 扩 大 , 受 利益 
的 驱使 ,许多 此 类 犯罪 行为 都 开始 朝 着 集团 化 的 方向 发 展 。 因 此 ,犯罪 主体 已 经 不 再 只 是 个 
人 主体 ,许多 主体 是 以 单位 的 形式 存在 。 另 一 方面 ,网 络 服务 提供 者 在 维护 信息 安全 方面 所 
肩负 的 责任 越 来 越 重要 。 网 络 服务 提供 者 本 身 就 有 净化 网 络 、 合 法 利用 网 络 的 义务 ,而 且 它 
也 有 保障 监管 的 技术 措施 。 有 的 网 络 服务 提供 者 为 了 提高 经 营 额 或 经 济 效 益 , 有 意 纵容 一 
些 利 用 网 络 进 行 违法 犯罪 的 行为 ,例如 网 络 上 出 现 的 各 种 诈骗 .开设 赌场 ,传播 淫秽 物品 等 ， 
对 社会 秩序 、 人 身 权利 造成 了 很 大 威胁 。 在 这 种 情况 下 ,加 强 对 网 络 服 务 提供 者 有 关 义 务 的 
监督 十 分 必要 。 

针对 这 种 新 的 发 展 趋势 ,2015 年 8 月 29 日 (刑法 修正 案 ( 九 )) 针 对 单位 作为 网 络 犯罪 
主体 的 新 情况 做 出 了 补充 规定 。 在 《刑法 ) 第 二 百 八 十 五 条 中 增加 一 款 作为 第 四 款 :“ 单 位 
犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 , 依 照 各 
该 款 的 规定 处 罚 。" 在 第 二 百 八 十 六 条 中 增加 一 款 作为 第 四 款 :“ 单 位 犯 前 三 款 罪 的 ,对 单位 
判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 .依照 第 一 款 的 规定 处 罚 .” 在 第 
二 百 八 十 六 条 后 增加 一 条 ,作为 第 二 百 八 十 六 条 之 一 ,增设 “ 拒 不 履行 信息 网 络 安全 管理 义 
务 罪 ” 的 新 罪名 。 


3.2.2 《关于 办 理 危害 计算 机 信息 系统 安全 刑事 案件 应 用 法 律 若 干 
问题 的 解释 》 
1997 年 (刑法 》 和 2009 年 出 台 的 (刑法 修正 案 ( 七 )) 分 别针 对 危害 计算 机 信息 系统 安全 
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的 犯罪 行为 制定 了 规范 并 设置 了 四 项 具体 的 罪名 ,但 是 在 互联 网 安全 威胁 日 益 加 剧 的 情况 
下 ,《 刑 法 ) 中 这 些 相关 规范 在 司法 实践 中 的 适用 性 却 不 尽 如 人 意 。 

据 公 安 部 的 统计 数据 ,近年 来 ,我 国 互 联网 上 传播 的 病毒 数量 平均 每 年 增长 80% 以 上 ， 
互联 网 上 平均 每 10 台 计算 机 中 有 8 台 受 到 黑客 控制 ,公安 机 关 受 理 的 黑客 攻击 破坏 活动 相 
关 案 件 平均 每 年 增长 110% 。 而 且 , 通 过 非法 控制 计算 机 信息 系统 ,非法 获取 计算 机 信息 系 
统 数 据 、 制 作 销 售 黑客 工具 等 行为 牟取 巨额 利润 ,进而 逐步 形成 由 制作 黑客 工具 、 销 售 黑客 
工具 、 非 法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 ,倒卖 非法 获取 的 计算 机 信息 系 
统 数 据 、 倒 卖 非 法 控制 的 计算 机 信息 系统 的 控制 权 等 各 个 环节 构成 的 利益 链条 。 

因此 ,严厉 打击 危害 计算 机 信息 系统 安全 犯罪 ,加 大 对 信息 网 络 安全 的 保护 力度 ,对 当 
时 的 局 势 而 言 刻不容缓 。 然 而 ,在 办 理 危 害 计 算 机 信息 系统 案件 的 过 程 中 ,适用 (刑法 》 相 关 
规定 遇 到 了 一 些 问题 ,需要 进一步 明确 : 

(1)《 刑 法 ) 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 规定 的 有 关 术 语 , 如 “专门 用 于 侵入 、 非 法 
控制 计算 机 信息 系统 的 程序 工具” 和 “计算 机 病毒 等 破坏 性 程序 ”等 ,其 含义 需 做 进一步 
明确 。 

(2) 对 犯罪 行为 的 情节 和 后 果 缺 乏 可 量化 的 衡量 标准 。《 刑 法 ) 第 二 百 八 十 五 条 、 第 二 
百 八 十 六 条 涉及 的 “情节 严重 “情节 特别 严重 “后 果 严 重 “ 后 果 特 别 严 重 ” 等 规定 缺乏 具体 
认定 标准 ,办 案 部 门 认识 不 一 ,难以 操作 。 

(3) 对 于 倒卖 计算 机 信息 系统 数据 控制 权 等 行为 的 定性 、 以 单位 名 义 或 者 形式 实施 危 
害 计算 机 信息 系统 安全 犯罪 的 处 理 、 和 危害 计算 机 信息 系统 安全 共同 犯罪 的 处 理 等 疑难 问题 ， 
司法 实践 部 门 反映 突出 。 

有 鉴于 此 ,为 适应 司法 实践 需要 ,明确 危害 计算 机 信息 系统 安全 犯罪 的 法 律 适用 问题 ， 
在 公安 部 等 有 关 部 门 的 大 力 协作 下 ,最 高 人 民法 院 会 同 最 高 人 民 检 察 院 颁布 了 《最 高 人 民法 
院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 若干 问题 的 解释 》 
(以 下 简称 (和 危害 计算 机 信息 系统 安全 犯罪 解释 ))。 自 2011 年 9 月 1 日 起 施行 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ) 共 11 个 条 文 ,较为 全 面 地 明确 了 危害 计算 机 信息 
系统 安全 犯罪 涉及 的 法 律 适用 问题 。 总 体 上 ,可 以 把 (危害 计算 机 信息 系统 安全 犯罪 解释 》 
的 内 容 概括 为 “六 个 术语 界定 “四 个 定罪 量刑 标准 ”和 “三 个 法 律 适用 疑难 问题 ”。 

所 谓 “ 六 个 术语 界定 ”, 是 指 : 

。“ 国 家 事务 、 国 防 建设 尖端 科学 技术 领域 的 计算 机 信息 系统 ”的 界定 ; 

。“ 计 算 机 信息 系统 ”和 “计算 机 系统 ”的 界定 中 ; 

*。“ 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”的 界定 ; 

。“ 计 算 机 病毒 等 破坏 性 程序 ”的 界定 ; 

。“ 身 份 认 证 信息 ”的 范围 界定 ; 


四 ”这 两 个 术语 在 (危害 计算 机 信息 系统 安全 犯罪 解释 ) 中 进行 了 统一 解释 ,实质 是 一 回 事 ,所 以 算 作 一 个 术语 。 
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。“ 经 济 损失 ”的 界定 。 

这 六 个 术语 的 具体 范围 ,在 危害 计算 机 信息 系统 安全 犯罪 司法 实践 中 争论 不 休 , 为 统一 
认识 ,保证 相关 案件 的 顺利 处 理 ,( 和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 对 这 六 个 术语 作出 了 
统一 界定 。 

所 谓 “ 四 个 定罪 量刑 标准 ”, 是 指 : 

。 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 行为 的 定罪 量刑 标准 ; 

。 提供 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 行为 的 定罪 量刑 标准 ; 

。 破坏 计算 机 信息 系统 功能 ,数据 或 者 应 用 程序 行为 的 定罪 量刑 标准 ; 

。 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 行为 的 定罪 量刑 标准 。 

所 谓 "三 个 法 律 适用 疑难 问题 ”是 指 : 

。 掩饰 .隐瞒 数据 ,控制 权 行为 的 定性 ; 

。 以 单位 名 义 或 者 形式 实施 危害 计算 机 信息 系统 安全 犯罪 的 处 理 原则 呈 ; 

。 危害 计算 机 信息 系统 安全 共同 犯罪 的 处 理 原则 。 

1.《 和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 的 术语 界定 

(1)“ 国 家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ”的 界定 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 十 条 规定 : 对 于 是 否 属于 刑法 第 二 百 八 十 五 
条 、 第 二 百 八 十 六 条 规定 的 “国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ” 专 
门 用 于 侵入 非法 控制 计算 机 信息 系统 的 程序 、 工 具 ”"“ 计 算 机 病毒 等 破坏 性 程序 ”难以 确定 
的 ,应 当 委 托 省 级 以 上 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 
检验 结论 ,并 结合 案件 具体 情况 认定 。 

司法 实践 一 直 反 映 ,“ 国 家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ”的 概 
念 较为 模糊 ,难以 系统 性 地 准确 把 握 。 例 如 “尖端 科学 技术 "包括 哪些 领域 的 科学 技术 ,难以 
一 一 列举 , 且 科学 技术 发 展 迅速 ,当前 尖端 的 科学 技术 在 未 来 不 一 定 属 于 尖端 科学 技术 ,未 
来 也 可 能 出 现 新 的 目前 并 无 法 预见 到 的 尖端 科学 技术 。 因 此 ,有 必要 对 三 大 领域 的 计算 机 
信息 系统 的 范围 予以 明确 。 但 是 ,由 于 各 方 对 这 一 术语 的 内 涵 和 外 延 认识 分 歧 较 大 .《 危 害 
计算 机 信息 系统 安全 犯罪 解释 ) 没 有 对 这 一 术语 作出 界定 ,但 是 第 十 条 规定 ,对 于 是 否 属于 
“国家 事务 、 国 防 建设 、 尖 端 科 学 技术 领域 的 计算 机 信息 系统 "难以 确定 的 ,应 当 委 托 省 级 以 
上 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 检验 结论 ,并 结合 案 
件 具 体 情况 认定 。 

(2)“ 计 算 机 信息 系统 ”和 “计算 机 系统 ”的 界定 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 十 一 条 第 一 款 :“ 本 解释 所 称 “计算 机 信息 系 
统 "和 “计算 机 系统 ”, 是 指 具备 自动 处 理 数据 功能 的 系统 ,包括 计算 机 、 网 络 设备 ,通信 设备 、 
自动 化 控制 设备 等 。” 


外 单位 犯罪 已 经 在 (刑法 修正 案 ( 九 )) 中 更 新 ,此 处 失效 。 
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。“ 计 算 机 信息 系统 ”和 “计算 机 系统 ”的 统一 解释 。 

刑法 第 二 百 八 十 六 条 关于 破坏 计算 机 信息 系统 罪 的 规定 使 用 了 “计算 机 信息 系统 ”与 
“计算 机 系统 ?两 个 概念 ,其 中 刑法 二 百 八 十 六 条 第 三 款 有 关 制 作 、 传 播 计算 机 病毒 等 破坏 性 
程序 的 条 款 中 使 用 “计算 机 系统 ”的 概念 ,其 他 条 款 使 用 “计算 机 信息 系统 ”的 概念 。 

立法 部 门 和 侦查 机 关 统 一 认为 ,由 于 区 分 这 两 个 概念 不 存在 实质 意义 ,因此 对 “计算 机 
信息 系统 ”与 “计算 机 系统 ”两 个 概念 不 应 作 区 分 ,而 应 进行 统一 解释 。 

。“ 计 算 机 信息 系统 ”和 “计算 机 系统 ”的 界定 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 十 一 条 第 一 款 规 定 ,“ 计 算 机 信息 系统 ”和 “计算 
机 系统 ”是 指 具备 自动 处 理 数 据 功能 的 系统 ,包括 计算 机 、 网 络 设备 、 通 信 设 备 、 自 动 化 控制 
设备 等 。 具 体 而 言 : 

具备 自动 处 理 数据 功能 的 设备 都 可 能 成 为 被 攻击 的 对 象 ,有 必要 将 其 纳入 刑法 保护 范 
畴 。 随 着 信息 技术 的 发 展 ,各 类 内 置 有 可 以 编程 .安装 程序 的 操作 系统 的 数字 化 设备 广泛 应 
用 于 各 个 领域 ,其 本 质 与 传统 的 计算 机 系统 已 没有 任何 差别 。 这 些 设 备 都 可 能 受到 攻击 破 
坏 : 互联 网 上 销售 的 专门 用 于 控制 手机 的 木马 程序 ,可 以 通过 无 线 网 络 获取 手机 中 的 信息 ; 
通过 蓝牙 .WirFi( 将 电脑 .手持 设备 等 终端 以 无 线 方式 互相 连接 的 技术 ) 等 无 线 网 络 传播 病 
毒 的 案件 也 呈现 快速 增长 态势 ; 在 工业 控制 设备 中 可 能 植 入 破坏 性 程序 ,使 得 工业 控制 设 
备 在 特定 条 件 下 运行 不 正常 ; 在 打印 机 、 传 真 机 等 设备 中 可 以 内 置 程序 秘密 获取 相关 数据 。 
总 之 ,任何 内 置 有 操作 系统 的 智能 化 设备 都 可 能 成 为 入 侵 、 破 坏 和 传播 计算 机 病毒 的 对 象 ， 
因此 应 当 将 这 些 设备 的 安全 纳入 刑法 保护 范畴 。 

(3)“ 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”的 界定 。 

四 “专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”与 “专门 用 于 非法 获取 计算 
机 信息 系统 数据 的 程序 、 工 具 ” 的 关系 。 

《刑法 ?第 二 百 八 十 五 条 第 三 款 的 用 语 是 "专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程 
序 、 工 具 ”, 从 字面 上 看 ,没有 涉及 专门 用 于 非法 获取 数据 的 工具 。 但 是 所谓“ 专门 用 于 侵 
入 计算 机 系统 的 程序 .工具 ”, 主 要 是 指 专门 用 于 非法 获取 他 人 登录 网 络 应 用 服务 .计算 机 系 
统 的 账号 、 密 码 等 认证 信息 以 及 智能 卡 等 认证 工具 的 计算 机 程序 工具 。”D 很 显然 , 除 专门 
用 于 实施 非法 侵入 计算 机 信息 系统 的 程序 .工具 外 ,通过 非法 侵入 计算 机 信息 系统 而 非法 获 
取 数 据 的 专门 性 程序 .工具 也 应 当 纳入 "专门 用 于 侵入 计算 机 信息 系统 的 程序 `. 工 具 ” 的 范 
畴 ,这 并 未 超越 刑法 用 语 的 规范 含义 。 因 此 ， 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程 
序 、 工 具 ”, 既 包括 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 ` 工 具 , 也 包括 通过 侵入 计 
算 机 信息 系统 而 非法 获取 数据 的 专门 性 程序 工具。 顺带 需要 提 及 的 是 ,基于 同样 的 理 
刑法 第 二 百 八 十 五 条 第 三 款 后 半 句 规定 的 “明知 他 人 实施 侵入 、 非法 控制 计算 机 信息 系统 的 
违法 犯罪 行为 而 为 其 提供 程序 .工具 ”, 这 里 的 “侵入 * 既 包括 非法 侵入 计算 机 信息 系统 行为 ， 


四” 黄 太 云 《 刑 法 修正 案 (七 )) 解 读 . 人 民 检 察 ,2009(6) 
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也 包括 通过 侵入 计算 机 信息 系统 而 非法 获取 数据 的 行为 。 

具体 而 言 , 根 据 刑法 二 百 八 十 五 条 规定 的 犯罪 行为 ,可 以 将 "专门 用 于 侵入 ,非法 控制 计 
算 机 信息 系统 的 程序 .工具 ”分 为 三 类 : 

。 专门 用 于 实施 非法 侵入 计算 机 信息 系统 的 程序 .工具 ; 

。 通过 非法 侵入 计算 机 信息 系统 而 非法 获取 数据 的 专门 性 程序 .工具 ; 

。 专门 用 于 非法 控制 计算 机 信息 系统 的 程序 .工具 。 

@“ 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”与 中 性 程序 .工具 的 界 分 。 

界定 “专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 、 工 具 ”, 关 键 在 于 明确 “专门 ”一 
词 的 含义 。 参 考 立 法 机 关 编 写 的 相关 论著 ,刑法 第 二 百 八 十 五 条 第 三 款 的 “专门 用 于 侵入 、 
非法 控制 计算 机 信息 系统 的 程序 .工具 ”, 是 指 行为 人 所 提供 的 程序 .工具 只 能 用 于 实施 非 
法 侵入 ,非法 控制 计算 机 信息 系统 的 用 途 .?@ 可 见 , 其 区 别 于 一 般 的 程序 .工具 之 处 在 于 此 
类 程序 、 工 具 专 门 是 用 于 违法 犯罪 目的 ,而 不 包括 那些 既 可 以 用 于 违法 犯罪 目的 又 可 以 用 于 
合法 目的 的 “中 性 程序 "。 因 此 ,专门 ?是 对 程序 .工具 本 身 的 用 途 非法 性 的 限定 ,是 通过 程 
序 . 工 具 本 身 的 用 途 予 以 体现 的 。 而 程序 .工具 本 身 的 用 途 又 是 由 其 功能 所 决定 的 ,如 果 某 
款 程 序 工具 在 功能 设计 上 就 只 能 用 来 实施 控制 .获取 数据 的 违法 行为 , 则 可 以 称 之 为 专门 
工具 ,程序 ”。 经 研究 认为 ,从 功能 设计 上 可 以 对 “专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 
的 程序 工具” 作 如 下 限定 : 

首先 ,程序 .工具 本 身 具 有 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 的 功能 。 如 
前 所 述 , 从 刑法 规范 的 逻辑 角度 而 言 , 刑 法 第 二 百 八 十 五 条 第 三 款 应 当 是 前 两 款 的 工具 犯 。 
刑法 第 二 百 八 十 五 条 第 三 款 规 定 的 “专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ” 
实质 上 是 指 专门 用 于 实施 刑法 二 百 八 十 五 条 规定 之 罪 的 程序 工具。 需要 注意 的 是 ,由 于 专 
门 用 于 实施 非法 侵入 计算 机 信息 系统 的 程序 .工具 较为 少见 ,而 且 难 以 从 功能 上 对 其 做 出 界 
定 , 对 其 主要 应 通过 主观 设计 目的 予以 判断 ( 即 ( 危 害 计算 机 信息 系统 安全 犯罪 解释 ) 第 二 条 
第 (三 ) 项 的 规定 ) 。 基 于 上 述 考 虑 ,这 里 主要 强调 了 程序 .工具 本 身 的 获取 数据 和 控制 功能 。 

其 次 ,程序 .工具 本 身 具 有 避 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 的 功能 。 有 不 少 
木马 程序 既 可 用 于 合法 目的 ,也 可 用 于 非法 目的 ,属于 “中 性 程序 ”, 比 如 系统 自 带 的 
Terminal Service( 终 端 服务 ) ,也 可 以 用 于 远程 控制 计算 机 信息 系统 ,很 多 商用 用 户 运用 这 
种 远程 控制 程序 以 远程 维护 计算 机 信息 系统 。 通 常情 况 下 .攻击 者 使 用 的 木马 程序 必须 故 
意 逃 避 杀 毒 程序 的 查 杀 和 防火 墙 的 控制 ,故此 类 木马 程序 区 别 于 “中 性 的 ”商用 远程 控制 程 
序 的 主要 特征 是 其 具有 “ 避 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ”的 特征 ,如 自动 停止 
杀毒 软件 的 功能 、 自 动 卸 载 杀毒 软件 功能 等 ,在 互联 网 上 广泛 销售 的 所 谓 “ 免 杀 ” 木 马 程序 即 
属于 此 种 类 型 的 木马 程序 。 因 此 .《 和 危害 计 算 机 信息 系统 安全 犯罪 解释 ) 将 “专门 用 于 避 开 或 


中 全 国人 大 常委 会 法 工 委 刑法 室 . 中 华人 民 共 和 国 刑法 * 条文 说 明 、 立 法 理由 及 相关 规定 . 北京 : 北京 大 学 出 版 
社 ,2009: 592 
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者 突破 计算 机 信息 系统 安全 保护 措施 ”作为 界定 标准 之 一 。 

最 后 ,程序 、 工 具 获 取 数 据 和 控制 的 功能 在 设计 上 即 能 在 未 经 授权 或 者 超越 授权 的 状态 
下 得 以 实现 。 这 是 专门 程序 .工具 区 别 于 * 中 性 程序 .工具 ”的 典型 特征 ,是 该 类 程序 违法 性 
的 集中 体现 。 例 如 * 网 银 大 次 ”程序 ,其 通过 键盘 记录 的 方式 ,监视 用 户 操作 , 当 用 户 使 用 个 
人 网 上 银行 进行 交易 时 ,该 程序 会 恶意 记录 用 户 所 使 用 的 账号 和 密码 ,记录 成 功 后 ,程序 会 
将 盗 取 的 账号 和 密码 发 送 给 行为 人 。 该 程序 在 功能 设计 上 即 可 在 无 须 权 利 人 授权 的 情况 下 
获取 其 网 上 银行 账号 、 密 码 等 数据 .“ 中 性 ”程序 .工具 不 具备 在 未 经 授权 或 超越 授权 的 情况 
下 自动 获取 数据 或 者 控制 他 人 计算 机 信息 系统 的 功能 。 

(4)“ 计 算 机 病毒 等 破坏 性 程序 ”的 界定 。 

刑法 第 二 百 八 十 六 条 第 三 款 将 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 的 行为 规定 为 
犯罪 。 因 此 ,准确 界定 “计算 机 病毒 等 破坏 性 程序 ”的 范围 ,对 于 处 理 相 关 案 件 至 关 重 要 。 
《危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 五 条 对 刑法 第 二 百 八 十 六 条 第 三 款 规定 的 “计算 机 
病毒 等 破坏 性 程序 ”的 范围 进行 了 明确 。 

。“ 计 算 机 病毒 等 破坏 性 程序 ”的 具体 范围 。 

基于 上 述 考 虑 ,( 危 害 计 算 机 信息 系统 安全 犯罪 解释 ) 第 五 条 对 “计算 机 病毒 等 破坏 性 程 
序 ” 的 具体 范围 作 了 规定 。 具 体 包括 : 

计算 机 病毒 , 即 能 够 通过 网 络 、 存 储 介 质 \ 文 件 等 媒介 ,将 自身 的 部 分 、 全 部 或 者 变种 进 
行 复制 .传播 ,并 破坏 计算 机 系统 功能 .数据 或 者 应 用 程序 的 程序 。 计 算 机 病毒 的 危害 性 主 
要 是 其 传播 方式 容易 引起 大 规模 传播 ,而 且 一 经 传播 即 无 法 控制 其 传播 面 ,也 无 法 对 被 侵害 
的 计算 机 逐一 取证 并 确认 其 危害 后 果 。 换 言 之 ,计算 机 病毒 的 传播 必然 会 影响 计算 机 系统 
的 正常 运行 ,属于 破坏 性 程序 的 范畴 。 

逻辑 炸弹 , 即 能 够 在 预先 设 定 条 件 下 自动 触发 ,并 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 
程序 的 程序 。 此 类 程序 一 旦 被 触发 即 可 破坏 计算 机 信息 系统 数据 、 功 能 或 者 应 用 程序 ,但 在 
未 触发 之 前 仍 存在 潜在 的 破坏 性 。 同 样 ,此 种 程序 应 当 纳 入 破坏 性 程序 的 范畴 。 

其 他 专门 设计 用 于 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 的 程序 。 

。“ 计 算 机 病毒 等 破坏 性 程序 ”的 认定 程序 。 

同 “ 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”的 认定 一 样 ,根据 (危害 计算 
机 信息 系统 安全 犯罪 解释 ) 第 十 条 的 规定 ,对 于 “计算 机 病毒 等 破坏 性 程序 ”难以 确定 的 ,应 
当 委 托 省 级 以 上 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 检验 结 
论 , 结 合 侵 入 行为 ,侵入 方法 、 侵 入 后 果 等 相关 情况 认定 。 此 外 .根据 (网 络 犯罪 刑事 诉讼 程 
序 意 见 》 的 规定 ,对 电子 数据 涉及 的 专门 性 问题 难以 确定 的 ,由 司法 鉴定 机 构 出 具 鉴定 意见 ， 
或 者 由 公安 部 指定 的 机 构 出 具 检 验 报告 。 据 此 ,对 于 是 否 属于 计算 机 病毒 等 破坏 性 程序 ,也 
可 以 由 公安 部 指定 的 机 构 出 具 检 验 报告 。 

(5)“ 身 份 认 证 信息 ”的 界定 。 

《和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 十 一 条 第 二 款 规 定 :“ 本 解释 所 称 “身份 认证 信 
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用 于 确认 用 户 在 计算 机 信息 系统 上 操作 权限 的 数据 ,包括 账号 .口令 、 密 码 、 数 字 证 


[sg 
: 并 
过 


于 《危害 计算 机 信息 系统 安全 犯罪 解释 ) 多 处 涉及 “身份 认证 信息 ”这 一 术语 ,第 十 一 
条 第 二 款 明 确 了 “身份 认证 信息 ”的 内 涵 和 和 外延。 考虑 到 司法 实践 的 具体 情形 ,采用 了 概括 
加 列举 的 方法 ,将 “身份 认证 信息 ”界定 为 用 于 确认 用 户 在 计算 机 信息 系统 上 操作 权限 的 数 
据 ,包括 账号 口令、 密码 ,数字 证 书 等 。 从 实践 来 看 ,数字 签名 、 生 物 特征 等 都 属于 身份 认证 
信息 。 

(6)“ 经 济 损失 ”的 界定 。 

《和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 十 一 条 第 三 款 规 定 :“ 本 解释 所 称 “ 经 济 损失 ，， 
包括 危害 计算 机 信息 系统 犯罪 行为 给 用 户 直接 造成 的 经 济 损失 ,以 及 用 户 为 恢复 数据 、 功 能 
而 支出 的 必要 费用 。” 

根据 (危害 计算 机 信息 系统 安全 犯罪 解释 》 的 规定 ,危害 计算 机 信息 系统 安全 犯罪 以 造 
成 经 济 损失 的 数额 作为 人 罪 标准 之 一 。 为 统一 法 律 适用 ,危害 计算 机 信息 系统 安全 犯罪 解 
释 ) 第 十 一 条 第 三 款 明确 了 “经 济 损失 ”的 计算 范围 ,具体 包括 危害 计算 机 信息 系统 犯罪 行为 
给 用 户 造成 的 直接 经 济 损失 ,以 及 用 户 为 恢复 数据 ,功能 而 支出 的 必要 费用 。 需 要 注意 的 
是 ,破坏 计算 机 信息 系统 功能 数据 给 用 户 带 来 的 预期 利益 的 损失 不 能 纳入 "经 济 损失 ”的 计 
算 范围 。 具 体 而 言 包括 : 

@ 危害 计算 机 信息 系统 犯罪 行为 给 用 户 直接 造成 的 经 济 损失 。 

对 于 非法 获取 计算 机 信息 系统 数据 犯罪 而 言 , 合 法 用 户 获取 该 数据 应 当 支付 的 费用 属 
于 该 行为 给 用 户 直接 造成 的 经 济 损失 。 例 如 ,付费 后 才能 查阅 小 说 的 文学 网 站 ,如 果 非 法 获 
取 该 网 站 中 的 小 说 , 则 查阅 这 些小 说 的 合法 用 户 应 当 支 付 的 费用 属于 该 网 站 运营 者 的 经 济 
损失 ; 如 果 不 需要 付费 则 可 以 获得 的 数据 , 则 未 造成 损失 ; 如 果 不 管 付费 不 付费 都 不 对 外 
提供 的 数据 , 则 难以 衡量 经 济 损失 ,例如 侵入 他 人 计算 机 并 获取 该 用 户 的 私人 照片 , 则 无 法 
衡量 经 济 损失 ,只 能 按照 其 他 量刑 标准 处 理 。 

对 于 通过 非法 控制 计算 机 信息 系统 使 用 的 计算 机 信息 系统 资源 ,合法 用 户 使 用 该 计算 
机 信息 系统 资源 应 当 支 付 的 费用 属于 行为 给 用 户 直接 造成 的 经 济 损失 。 例 如 ,侵入 某 个 托 
管 主机 并 使 用 该 托管 主机 的 虚拟 空间 , 则 其 少 支付 的 费用 则 属于 托管 主机 运营 商 的 经 济 损 
失 。 对 于 并 未 提供 付费 服务 的 计算 机 信息 系统 ,由 于 属于 使 用 盗窃 范 畴 , 则 难以 衡量 其 经 济 
损失 ,只 能 按照 其 他 量刑 标准 处 理 。 

计算 机 信息 系统 不 能 正常 运行 期 间 支 付 的 网 络 带宽 费用 等 合理 支出 费用 。 对 于 造成 计 
算 机 信息 系统 功能 无 法 正常 运行 ,比如 对 某 个 网 站 实施 拒绝 服务 攻击 , 则 该 网 站 的 所 有 者 在 
被 拒绝 服务 攻击 期 间 支 付 的 主机 托管 .系统 维护 等 费用 都 属于 造成 的 损失 。 

@ 用 户 为 恢复 数据 .功能 而 支出 的 必要 费用 。 

在 计算 机 信息 系统 功能 或 者 数据 被 破坏 后 ,通常 需要 采取 各 种 应 急 响应 措施 使 其 恢复 
到 正常 状态 ,如 对 于 被 删除 的 数据 采取 数据 恢复 措施 ,被 拒绝 服务 攻击 的 网 站 增加 数据 分 流 
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设备 ,增加 带宽 等 ,这 都 属于 造成 的 经 济 损失 。 

@ 用 户 预 期 利益 的 损失 不 纳入 “经 济 损失 ”的 计算 范围 。 

越 来 越 多 的 经 济 活动 对 计算 机 信息 系统 的 依赖 程度 很 强 ,如 果 破 坏 计算 机 信息 系统 的 
数据 或 者 功能 可 能 造成 重大 的 收入 损失 ,但 如 果 该 损失 属于 预期 利益 的 损失 ,如 丧失 商业 合 
作 机 会 造成 的 经 济 损失 , 则 不 能 纳入 “经 济 损失 ”的 计算 范围 。 

2.《 和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 定 罪 量 刑 标准 

(1) 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 罪 的 定罪 量刑 标准 。 

@ 定罪 量刑 标准 设 定 的 背景 。 

《刑法 修正 案 ( 七 )) 将 非法 获取 计算 机 信息 系统 数据 行为 人 罪 ,主要 是 为 了 解决 网 络 盗 
窃 计算 机 信息 系统 数据 的 法 律 适用 问题 。 具 体 而 言 : 

对 于 非法 获取 法 律 属性 尚未 明确 的 计算 机 信息 系统 数据 的 行为 ,存在 法 律 适 用 困难 。 
当前 ,在 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 , 因 其 包含 内 容 的 不 同 而 具有 不 同 的 
法 律 属性 。 其 中 ,有 些 计算 机 信息 系统 数据 的 法 律 属性 明确 ,如 非法 获取 涉及 国家 秘密 、 商 
业 秘 密 的 计算 机 信息 系统 数据 的 ,可 以 依照 非法 获取 国家 秘密 罪 , 侵 犯 商 业 秘密 罪 等 犯罪 论 
处 。 但 是 ,也 存在 着 一 些 法 律 属性 尚未 明确 的 计算 机 信息 系统 数据 ,如 作为 当前 网 络 盗窃 主 
要 对 象 的 网 络 账号 ,网 络 游戏 装备 等 “虚拟 财产 ”。 由 于 “虚拟 财产 ”的 财产 属性 存在 争议 ,能 否 
认定 为 公私 财产 存在 不 同意 见 ; 而 且 , 即 使 认定 为 公私 财产 ,由 于 发 行 数量 与 价格 指数 完全 由 
网 络 运营 商 控制 ,与 现实 社会 的 物价 指数 无 必然 联系 ,难以 制定 出 科学 合理 的 价格 认定 的 方 
法 。 因 此 ,对 于 非法 获取 “虚拟 财产 "等 计算 机 信息 系统 数据 的 行为 ,难以 适用 传统 的 盗窃 罪 。 

对 计算 机 信息 系统 数据 "使 用 盗窃 ”的 行为 ,难以 适用 盗窃 罪 准 确定 罪 量刑 。 不 少 情况 
下 ,非法 获取 计算 机 信息 系统 数据 行为 所 获得 的 只 是 数据 的 使 用 权 , 而 不 是 数据 的 所 有 权 。 
如 非法 获得 拨号 上 网 账号 并 使 用 该 账号 免费 上 网 ,实质 上 盗窃 者 获得 的 是 账号 的 使 用 权 而 
不 是 所 有 权 。 在 合法 用 户 包 月 使 用 的 情况 下 ,难以 确定 行为 人 究 竞 应 当 支 付 多 少 费用 ,也 就 
难以 衡量 造成 的 经 济 损失 或 者 获 利 情况 。 

对 于 非法 获取 计算 机 信息 系统 数据 ,但 是 尚未 实际 使 用 该 数据 ,无 法 适用 盗窃 罪 等 传统 
罪名 。 例 如 ,非法 获取 网 上 银行 账号 、 密 码 , 但 是 尚未 使 用 该 账号、 密码 和 转移 其 中 的 资金 ， 
无 法 按照 盗窃 罪 定 罪 处 罚 。 基 于 上 述 原因 ,( 刑 法 修正 案 ( 七 )) 将 非法 获取 计算 机 信息 系统 
数据 行为 单独 入 罪 ,规定 为 专门 的 非法 获取 计算 机 信息 系统 数据 罪 , 以 区 别 于 传统 的 盗窃 罪 
等 犯罪 。 

@ 定罪 量刑 标准 设 定 的 适用 范围 。 

根据 (刑法 ) 第 二 百 八 十 五 条 第 二 款 的 规定 ,违反 国家 规定 ,侵入 国家 事务 、 国 防 建设 、 尖 
端 科 学 技术 领域 的 计算 机 信息 系统 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 
计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 的 ,构成 非法 获取 计算 机 信息 系统 数据 罪 。 因 
此 ,该 罪 所 保护 的 主要 是 计算 机 信息 系统 安全 。 对 于 非法 获取 计算 机 信息 系统 数据 进而 实 
施 其 他 犯罪 的 行为 ,可 以 依照 其 他 犯罪 处 理 ,如 非法 获取 网 上 银行 帐号、 密码 后 转移 账户 资 


第 3 章 网 络 犯罪 的 法 律 规制 41 


金 的 ,可 以 按照 盗窃 罪 定 罪 处 罚 。 行为 人 非法 获取 网 上 银行 帐号、 密码 但 并 未 窃取 账户 资金 
的 行为 ,由 于 侵犯 了 计算 机 信息 系统 安全 ,如 果 情 节 严 重 ,也 应 当 按 照 非法 获取 计算 机 信息 
系统 罪 定罪 处 罚 。 

基于 上 述 分 析 ,《 和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 一 条 在 设 定 非法 获取 计算 机 信 
息 系统 数据 、 控 制 计算 机 信息 系统 罪 定 罪 量 刑 标 准时 主要 有 如 下 考虑 : 

a. 非法 获取 数据 罪 主 要 并 不 以 数据 自身 的 法 律 属性 来 衡量 其 犯罪 情节 ,而 应 当主 要 以 
其 对 计算 机 信息 系统 的 安全 造成 的 危害 程度 来 衡量 其 犯罪 情节 。 

b. 非法 获取 计算 机 信息 系统 数据 罪 应 当 解 决 的 问题 主要 是 数据 的 法 律 属性 不 明确 ,无 
法 适用 刑法 其 他 条 款 的 情形 。 例 如 获取 的 国家 秘密 、 商 业 秘密 等 法 律 属 性 明确 的 数据 的 ,可 
以 依照 其 他 罪 种 定罪 处 罚 ,非法 获取 数据 罪 主 要 是 应 当 对 非法 获取 数据 行为 定罪 处 罚 而 又 
无 法 按照 刑法 其 他 条 款 定 罪 处 罚 的 情形 提供 法 律 依 据 。 

c. 无 论 是 非法 获取 计算 机 信息 数据 ,还 是 非法 控制 计算 机 信息 系统 ,主要 动机 都 是 件 
利 , 故 应 当 将 以 件 利 为 目的 的 非法 获取 数据 的 行为 作为 重点 打击 对 象 。 

@ 入 罪 标准 。 

。 获取 网 络 金融 服务 的 身份 认证 信息 构成 “情节 严重 ”的 情形 。 

与 计算 机 信息 系统 安全 相关 的 数据 中 最 为 重要 的 是 用 于 认证 用 户 身份 的 身份 认证 信息 
〈 如 口令 .证 书 等 ), 此 类 数据 通常 是 网 络 安全 的 第 一 道 防线 ,也 是 网 络 盗窃 的 最 主要 对 象 。 
特别 是 非法 获取 电子 银行 证券 交 易 、 期 货 交易 等 网 络 金融 服务 的 账号 .口令 等 身份 认证 信 
息 的 活动 非常 猩 狐 。 从 实践 来 看 ,不 少 行为 人 在 非法 获取 相关 账号 .密码 后 并 不 转移 该 账号 
中 的 资金 ,而 是 将 账号 、 密 码 等 数据 销售 给 他 人 获 利 。 基 于 此 ,危害 计算 机 信息 系统 安全 犯 
罪 解释 ) 对 网 络 金融 服务 的 身份 认证 信息 予以 重点 保护 ,根据 司法 实践 的 情况 ,综合 行为 的 
社会 危害 性 ,规定 “获取 支付 结算 、 证 券 交 易 、 期 货 交易 等 网 络 金融 服务 的 身份 认证 信息 十 组 
以 上 的 ”构成 非法 获取 计算 机 信息 系统 数据 "情节 严重 ”。 

立法 机 关 经 研究 认为 ,非法 获取 网 络 金融 服务 的 身份 认证 信息 的 行为 与 伪造 信用 卡 的 
行为 存在 一 定 的 差异 ,前 者 可 能 并 不 能 直接 窃取 账户 资金 (如 在 账户 所 有 人 修改 密码 的 情况 
下 ), 而 后 者 可 以 直接 窃取 资金 。 基 于 此 .两 者 在 人 罪 标 准 方面 应 当 有 所 差异 。 因 此 ,综合 考 
虑 司法 实践 的 情况 (危害 计算 机 信息 系统 安全 犯罪 解释 ) 将 非法 获取 网 络 金融 服务 的 身份 
认证 信息 的 入 罪 标 准 设 定 为 “十 组 以 上 ”。 

。 获取 其 他 身份 认证 信息 构成 “情节 严重 ”的 情形 。 

对 于 网 络 金融 服务 的 身份 认证 信息 以 外 的 其 他 网 络 服务 的 身份 认证 信息 ,如 网 络 即时 
通讯 .网 络 邮 箱 等 的 身份 认证 信息 ,网 络 盗窃 者 非法 获取 这 些 身份 认证 信息 的 案件 也 较为 多 
发 。 实 践 中 ,网 络 盗窃 者 非法 获取 上 述 身 份 认证 信息 ,通常 有 三 种 目的 : 一 是 通过 销售 这 些 
账号 信息 或 者 窃取 这 些 账 号 中 的 虚拟 财产 (如 游戏 装备 、Q 币 等 ) 获 利 ; 二 是 通过 使 用 这 些 
账号 信息 减少 自己 的 费用 支出 ,如 盗窃 他 人 拨号 上 网 账号 上 网 以 减少 支付 费用 ; 三 是 通过 
使 用 这 些 账 号 实施 其 他 违法 犯罪 行为 ,如 窃取 QQ 号 码 后 骗取 QQ 好 友 的 钱财 ,盗窃 邮箱 账 
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号 后 查看 他 人 邮箱 内 容 等 。 根 据 司 法 实践 中 的 具体 情况 ,( 危 害 计算 机 信息 系统 安全 犯罪 解 
释 ) 规 定 获取 网 络 金 融 服 务 以 外 的 身份 认证 信息 “五 百 组 以 上 的 ”构成 非法 获取 计算 机 信息 
系统 数据 “情节 严重 ”。 

司法 实践 中 ,要 准确 把 握 ( 危 害 计算 机 信息 系统 安全 犯罪 解释 ?规定 的 一 “组 ”身份 认证 
信息 的 概念 。 所 谓 一 组 身份 认证 信息 ,是 指 可 以 确认 用 户 在 计算 机 信息 系统 上 操作 权限 的 
认证 信息 的 一 个 组 合 ,例如 某 些 网 上 银行 需要 用 户 名 、 密 码 和 动态 口令 就 可 以 转账 ,那么 用 
户 名 、 密 码 和 动态 口令 就 是 一 组 身份 认证 信息 ; 有 的 网 上 银行 除 上 述 三 项 信息 外 还 需要 手 
机 认证 码 才 可 以 转账 , 缺 一 不 可 ,那么 这 四 项 信息 才能 构成 一 组 身份 认证 信息 。 但 是 ,对 于 
身份 认证 信息 ,特别 是 密码 信息 ,很 多 用 户 有 经 常 更 改 密码 的 习惯 , 故 认 定 一 组 身份 认证 信 
息 不 应 以 在 办 案 过 程 中 是 否 可 以 实际 登录 使 用 为 判断 标准 ,而 应 结合 其 非法 获取 身份 认证 
信息 的 方法 判断 该 身份 认证 信息 在 被 非法 获取 时 是 否 可 用 为 依据 ,如 使 用 的 木马 程序 能 有 
效 截获 用 户 输入 的 账号 密码 , 则 不 管 该 密码 当前 是 否 可 用 ,只 要 是 使 用 该 木马 程序 截获 的 账 
号 、 密 码 , 则 应 认定 为 一 组 有 效 身 份 认 证 信息 。 

。 非法 控制 计算 机 信息 系统 构成 “情节 严重 ”的 情形 。 

在 非法 侵入 计算 机 信息 系统 后 ,并 未 破坏 计算 机 信息 系统 的 功能 或 者 数据 ,而 是 通过 控 
制 计 算 机 信息 系统 实施 特定 操作 的 行为 被 称 为 "非法 控制 计算 机 信息 系统 ”。 很 多 攻击 者 通 
过 控制 大 量 计算 机 信息 系统 形成 僵尸 网 络 (BOTNET) , 据 统计 ,全 世界 的 僵尸 网 络 75% 位 
于 我 国 ,有 的 僵尸 网 络 控制 的 计算 机 信息 系统 甚至 多 达 数 十 万 台 , 这 已 成 为 我 国 互联 网 安全 
的 重大 隐患 。 针 对 上 述 问题 《危害 计算 机 信息 系统 安全 犯罪 解释 》 将 非法 控制 计算 机 信息 
系统 台数 作为 衡量 情节 严重 的 标准 之 一 ,' 即 非法 控制 计算 机 信息 系统 二 十 台 以 上 的 ,应 当 认 
定 为 “情节 严重 ”。 

。 违法 所 得 或 者 造成 经 济 损失 构成 “情节 严重 ”的 情形 。 

非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 行为 的 主要 目的 是 牟利 , 且 易 给 权 
利 人 造成 经 济 损失 ,因此 ,《 危 害 计算 机 信息 系统 安全 犯罪 解释 ) 将 违法 所 得 数额 和 财产 损失 
数额 作为 衡量 情节 严重 的 标准 之 一 。 

从 实践 来 看 ,难以 对 身份 认证 信息 以 外 的 计算 机 信息 系统 数据 的 入 罪 标 准 作出 统一 规 
定 。 例 如 ,入 侵 教育 部 门 证 件 信 息 查 询 系统 并 获取 毕业 证 、 学 位 证 信息 的 行为 ,具体 的 入 罪 
标准 就 难以 设 定 。 此 外 ,有 些 非法 获取 身份 认证 信息 ,非法 控制 计算 机 信息 系统 的 行为 , 虽 
然 数量 未 达到 前 述 标准 ,但 非法 获 利 数额 可 能 非常 大 ,如 盗窃 一 个 QQ 号 码 销售 获 利 数 万 
元 ,有 必要 予以 刑事 惩治 。 基 于 上 述 考虑 《危害 计算 机 信息 系统 安全 犯罪 解释 ;将 违法 所 得 
作为 人 罪 标准 之 一 ,规定 违法 所 得 五 千 元 以 上 的 构成 “情节 严重 ”。 

非法 获取 计算 机 信息 系统 数据 和 非法 控制 计算 机 信息 系统 可 能 造成 经 济 损失 ,如 获取 
他 人 拨号 上 网 账号 后 使 用 该 账号 免费 上 网 ,可 能 给 网 络 接 和 人 服务 商 造 成 经 济 损失 ; 获取 网 
上 需要 付费 的 服务 (如 网 上 查询 高 考 成 绩 通常 需要 付费 ) 的 账号 并 使 用 该 账号 获得 服务 并 规 
避 支 付费 用 ,实质 上 给 服务 提供 商 造成 了 收入 上 的 损失 ; 非法 控制 计算 机 信息 系统 如 控制 
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托管 服务 商 的 主机 并 免费 使 用 主机 上 的 存储 空间 建设 网 站 ,实际 上 造成 了 托管 服务 商 的 主 
机 出 租 收入 的 损失 。 基 于 此 以 危害 计算 机 信息 系统 安全 犯罪 解释 ?将 造成 经 济 损失 作为 人 
罪 标准 之 一 ,规定 造成 经 济 损失 一 万 元 以 上 的 构成 “情节 严重 ”。 

。 其 他 构成 “情节 严重 ”的 情形 。 

考虑 到 司法 实践 的 情况 十 分 复杂 (危害 计算 机 信息 
对 于 不 符合 上 述 情形 ,但 确实 达到 情节 严重 程度 ,如 造成 
处 理 。 

(2) 提供 侵入 非法 控制 计算 机 信息 系统 的 程序 、 工 具 罪 的 定罪 量刑 标准 。 

《刑法 ) 第 二 百 八 十 五 条 第 三 款 规 定 了 提供 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 工具 
罪 , 具 体 包 括 提 供 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 和 明知 他 人 实施 侵 
入 .非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 两 种 行为 方式 。 因 此 ， 
明确 “专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ?的 范围 ,对 于 处 理 相关 案件 具 
有 重要 意义 。《 危 害 计 算 机 信息 系统 安全 犯罪 解释 ?第 二 条 对 《刑法 ?第 二 百 八 十 五 条 第 三 款 
规定 的 "专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 "的 范围 进行 了 明确 。 

“专门 用 于 侵入 非法 控制 计算 机 信息 系统 的 程序 、 工 具 ” 的 认定 程序 。 

专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 由 于 专业 性 较 强 ,根据 (危害 计算 
机 信息 系统 安全 犯罪 解释 ) 第 十 条 的 规定 ,应 当 委托 省 级 以 上 负责 计算 机 信息 系统 安全 管理 
工作 的 部 门 检验 ,司法 机 关 根 据 检 验 结论 ,并 结合 案件 具体 情况 认定 。 关 于 检验 部 门 的 具体 
范围 ,应 当 根 据 ( 计 算 机 信息 系统 安全 保护 条 例 》( 国 务 院 第 147 号 令 ) 第 六 条 的 规定 确定 。 
该 条 规定 :“ 公 安 部 主管 全 国 计 算 机 信息 系统 安全 保护 工作 。 国 家 安全 部 、 国 家 保密 局 和 国 
务 院 其 他 有 关 部 门 , 在 国务 院 规定 的 职责 范围 内 做 好 计算 机 信息 系统 安全 保护 的 有 关 工 
作 .” 因 此 ,在 司法 实践 中 ,应 当 根 据 案 件 的 具体 情况 ,由 公安 机 关 、 安 全 机 构 或 者 保密 部 门 等 
出 具 检 验 结论 。 必 要 时 ,为 了 确保 司法 认定 的 准确 性 ,也 可 以 委托 具有 相关 鉴定 资质 的 司法 
鉴定 机 构 进 行 鉴 定 ,检验 部 门 结合 鉴定 意见 综合 判断 后 出 具 检 验 意见 。 最 终 , 司 法 机 关 根 据 
检验 结论 ,并 结合 案件 具体 情况 认定 。 

四 定罪 量刑 标准 。 

。 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 定罪 量刑 标准 。 

第 三 条 第 一 款 明确 了 “情节 严重 ”的 具体 认定 标准 。 对 于 提供 专门 用 于 侵入 、 非 法 控制 
计算 机 信息 系统 的 程序 、 工 具 , 或 者 明知 他 人 实施 侵入 、 非 法 控制 计算 机 信息 系统 的 违法 犯 
罪行 为 而 为 其 提供 程序 、 工 具 的 行为 ,主要 从 以 下 几 个 方面 认定 “情节 严重 ”: 

一 是 提供 的 程序 .工具 的 人 次 。 其 中 ,对 于 提供 网 银 木 马 等 “能 够 用 于 非法 获取 支付 结 
算 、 证 券 交 易 、 期 货 交易 等 网 络 金融 服务 的 身份 认证 信息 的 专门 性 程序 、 工 具 ” 的 行为 ,第 
(一 ) 项 规定 提供 五 人 次 以 上 的 即 属 “ 情 节 严 重 ”; 对 于 提供 盗号 程序 .远程 控制 木马 程序 等 
其 他 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 的 ,第 (二 ) 项 规定 提供 的 人 次 达 
到 二 十 人 次 以 上 的 属于 “情节 严重 ”; 对 于 明知 他 人 实施 非法 获取 支付 结算 、 证 券 交 易 、 期 货 


系统 安全 犯罪 解释 ) 设 置 了 忽 底 项 ， 
恶劣 社会 影响 的 ,也 可 以 按照 犯罪 
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交易 等 网 络 金融 服务 的 身份 认证 信息 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 的 ,第 (三 ) 项 规 
定 提供 五 人 次 以 上 的 即 属 “情节 严重 ”; 对 于 明知 他 人 实施 其 他 侵入 、 非 法 控制 计算 机 信息 
系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 的 ,第 (四 ) 项 规定 提供 二 十 人 次 以 上 的 属于 * 情 
有 

二 是 违法 所 得 和 经 济 损失 数额 。 由 于 提供 此 类 工具 的 行为 主要 以 获 利 为 目的 , 正 是 在 
非法 获 利 的 驱动 下 ,互联 网 上 销售 各 类 黑客 工具 的 行为 才 会 泛滥 , 且 往 往 会 给 权利 人 造成 经 
济 损失 , 故 第 (五 ) 项 将 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 作为 认定 “情节 严 
重 ” 的 标准 之 一 。 

三 是 对 于 其 他 无 法 按照 提供 的 人 次 .违法 所 得 数额 ,经 济 损失 数额 定罪 的 ,第 (六 ) 项 设 
置 了 多 底 条 款 。 

此 外 ,第 二 款 规定 “情节 严重 "和 “情节 特别 严重 ”之 间 为 五 倍 的 倍数 关系 。 

。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 犯 罪案 件 办 理 中 应 当 注意 的 问题 。 

《刑法 第 二 百 八 十 五 条 第 三 款 实 际 上 是 (刑法 ) 第 二 百 八 十 五 条 第 一 款 、 第 二 款 的 工具 
犯 。 该 款 规 定 ,提供 专门 用 于 侵入 (包括 通过 侵入 计算 机 信息 系统 实施 的 非法 获取 数据 )、 非 
法 控制 计算 机 信息 系统 的 程序 .工具 ,或 者 明知 他 人 实施 侵入 (包括 通过 侵入 计算 机 信息 系 
统 实施 的 非法 获取 数据 ) ,非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 工具 ， 
情节 严重 的 ,以 提供 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 罪 论处 。 在 司法 实践 中 ,要 
注意 把 握 刑法 第 二 百 八 十 五 条 第 一 款 、 第 二 款 与 第 三 款 相交 织 的 情形 ， 

一 是 明知 他 人 实施 侵入 (包括 通过 侵入 计算 机 信息 系统 实施 的 非法 获取 数据 ), 非 法 控 
制 计算 机 信息 系统 的 违法 犯罪 行为 ,而 为 其 提供 程序 、 工 具 行为 的 定性 。 从 立法 背景 来 看 ， 
《刑法 修正 案 ( 七 )) 增 设 了 刑法 第 二 百 八 十 五 条 第 三 款 , 将 非法 侵入 计算 机 信息 系统 ,非法 获 
取 计 算 机 信息 系统 数据 ,控制 计算 机 信息 系统 共同 犯罪 中 的 提供 工具 行为 独立 化 ,单独 规定 
为 犯罪 ,并 配置 了 独立 的 法 定 刑 。 在 此 背景 下 ,对 于 明知 他 人 实施 侵入 (包括 通过 侵入 计算 
机 信息 系统 实施 的 非法 获取 数据 )、 非 法 控制 计算 机 信息 系统 的 违法 犯罪 行为 ,而 为 其 提供 
程序 工具 的 ,无 论 是 否 构成 共同 犯罪 , 均 应 以 提供 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 、 
工具 罪 论处 。 

二 是 明知 他 人 实施 侵入 (包括 通过 侵入 计算 机 信息 系统 实施 的 非法 获取 数据 )、 非 法 控 
制 计 算 机 信息 系统 的 违法 犯罪 行为 ,而 为 其 提供 程序 .工具 ,并 参与 实施 了 非法 侵入 计算 机 
信息 系统 ,非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 的 具体 犯罪 行为 的 定性 。 本 
书 认为 ,行为 人 实施 的 行为 既 符 合 了 非法 侵入 计算 机 信息 系统 罪 或 者 非法 获取 计算 机 信息 
系统 数据 ,控制 计算 机 信息 系统 罪 ,也 符合 了 提供 侵入 ,非法 控制 计算 机 信息 系统 的 程序 、 工 
有 具 罪 ,但 是 考虑 到 两 个 行为 之 间 前 后 相连 , 密 不 可 分 ,不 宜 再 数 罪 并 罚 。 较 为 妥善 的 处 理 方 
案 是 ,按照 "从 一 重 处 断 ” 原 则 ,比较 两 罪 轻 重 , 按 照 重罪 处 断 。 

(3) 破坏 计算 机 信息 系统 罪 的 定罪 量刑 标准 。 

9 定罪 量刑 标准 设 定 的 主要 考虑 。 
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。 数 据 、 应 用 程序 均 可 以 成 为 破坏 计算 机 信息 系统 行为 的 对 象 。 

《刑法 ) 第 二 百 八 十 六 条 第 二 款 规定 :“ 违 反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 
或 者 传输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 
理 ,” 需 要 注意 的 是 ,关于 “数据 和 应 用 程序 ”之 间 究 竞 是 择 一 关系 还 是 并 列 关 系 , 即 破坏 计算 
机 信息 系统 数据 或 者 应 用 程序 ,就 可 构成 破坏 计算 机 信息 系统 罪 ,还 是 只 有 同时 破坏 计算 机 
信息 系统 数据 和 应 用 程序 ,才能 构成 破坏 计算 机 信息 系统 罪 , 存 有 不 同 认识 。 本 书 认为 , 基 
于 司法 实践 的 具体 情况 ,从 体系 解释 的 角度 ,应 当 将 其 理解 为 择 一 关系 , 即 刑法 第 二 百 八 十 
六 条 第 二 款 规定 的 “数据 和 应 用 程序 ”应 当 理 解 为 数据 、 应 用 程序 均 可 以 成 为 犯罪 对 象 。 主 
要 考虑 如 下 : 

第 一 ,从 司法 实践 来 看 ,破坏 数据 应 用 程序 的 案件 ,主要 表现 为 对 数据 进 删除 修改 、 增 
加 的 操作 , 鲜 有 破坏 应 用 程序 的 案件 。 因 此 ,对 于 《刑法 ) 第 二 百 八 十 六 条 “对 计算 机 信息 系 
统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ”的 规定 ,应 当 理 解 
为 数据 ,应 用 程序 均 可 以 成 为 犯罪 对 象 .并 不 要 求 一 次 破坏 行为 必须 同时 破坏 数据 和 应 用 程 
序 , 这 样 才能 实现 对 计算 机 信息 系统 中 存储 、 人 处 理 或 者 传输 的 数据 、 应 用 程序 的 有 效 保护 , 维 
护 计算 机 信息 系统 安全 。 

第 二 ,上 述 认识 在 以 往 的 司法 解释 中 有 先例 可 循 .《 走 私 犯 罪 解释 ?第 四 条 就 将 刑法 第 
一 百 五 十 一 条 第 二 款 规定 的 "珍贵 动物 及 其 制品 ?解释 为 "珍贵 动物 或 者 其 制品 ”。 因 此 , 数 
据 、 应 用 程序 均 可 以 成 为 破坏 计算 机 信息 系统 罪 的 对 象 ,并 不 要 求 一 次 破坏 行为 必须 同时 破 
坏 数 据 和 应 用 程序 。 基 于 这 一 认识 ,《 危 害 计算 机 信息 系统 安全 犯罪 解释 ) 第 四 条 第 一 款 第 
(二 ) 项 规定 ,对 二 十 台 以 上 计算 机 信息 系统 中 存储 ,处 理 或 者 传输 的 数据 进行 删除 修改 、 增 
加 操作 的 , 即 构成 破坏 计算 机 信息 系统 罪 。 需要 注意 的 是 ,由 于 以 计算 机 信息 系统 应 用 程序 
为 破坏 对 象 的 案件 很 少 ,这 里 并 未 规定 以 被 破坏 应 用 程序 的 计算 机 信息 系统 的 台数 为 定罪 
量刑 标准 ,而 主要 是 通过 违法 所 得 和 造成 经 济 损失 的 数额 定罪 量刑 。 

。 破坏 计算 机 信息 系统 数据 、 应 用 程序 的 把 握 。 

根据 (刑法 ) 第 二 百 八 十 六 条 第 二 款 的 规定 ,破坏 计算 机 信息 系统 数据 、 应 用 程序 行为 有 
删除 .修改 .增加 三 种 方式 。 所 谓 * 删 除 ”, 是 指 将 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数 
据 、 应 用 程序 删 去 , 既 可 以 是 全 部 删除 ,也 可 以 是 部 分 删除 。 所 谓 “ 修 改 ”, 是 指 对 计算 机 信息 
系统 数据 、 应 用 程序 进行 改动 。 所 谓 “ 增 加 ”, 是 指 在 计算 机 信息 系统 中 增加 新 的 数据 、 应 用 
程序 。 需 要 注意 的 是 ,对 计算 机 信息 系统 数据 、 应 用 程序 和 删除、 修改、 增加 的 三 种 操作 方式 ， 
即 通常 所 讲 的 对 数据 、 应 用 程序 的 “增删 改 ”, 在 社会 危害 性 上 没有 什么 区 别 , 都 是 破坏 数据 、 
应 用 程序 ,这 一 点 在 司法 实践 中 应 注意 把 握 。 

破坏 计算 机 信息 系统 数据 应 用 程序 人 罪 不 以 被 破坏 的 数据 无 法 恢复 为 要 件 。 根 据 ( 刑 
法 ) 第 二 百 八 十 六 条 第 二 款 的 规定 ,只 要 对 计算 机 信息 系统 数据 进行 删除 ,修改 、 增 加 的 操作 
即 可 ,至 于 被 破坏 的 数据 是 否 可 以 恢复 到 破坏 前 的 状态 ,并 非 人 罪 要 件 。 而 且 , 将 被 破坏 的 
数据 是 否 可 以 恢复 作为 入 罪 条 件 , 也 不 具有 可 操作 性 。 被 破坏 的 数据 ,一 般 技术 人 员 无 法 恢 
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复 的 ,可 能 技术 专家 就 能 恢复 , 故 被 破坏 的 数据 是 否 可 以 恢复 是 一 个 无 从 判断 的 标准 。 此 
外 ,与 其 他 两 种 破坏 计算 机 信息 系统 的 行为 方式 不 同 , 破 坏 计算 机 信息 系统 数据 和 应 用 程序 
构成 破坏 计算 机 信息 系统 罪 , 并 不 要 求 达到 “造成 计算 机 信息 系统 不 能 正常 运行 ”或 者 "影响 
计算 机 系统 正常 运行 ”的 结果 。 换 言 之 ,破坏 计算 机 信息 系统 数据 、 应 用 程序 的 情形 ,在 入 罪 
要 件 方 面 不 同 于 其 他 两 类 破坏 计算 机 信息 系统 的 情形 。 

。 针对 特定 类 型 或 者 特定 领域 的 计算 机 信息 系统 的 特殊 保护 。 

在 网 络 上 存在 很 多 为 其 他 计算 机 信息 系统 提供 基础 服务 的 系统 ,如 域名 解析 服务 器 、 路 
由 器 、 身 份 认证 服务 器 、 计 费 服务 器 等 ,对 这 些 服务 器 实施 攻击 可 能 导致 大 量 的 计算 机 信息 
系统 瘫 痰 ,例如 一 个 域名 解析 服务 器 可 能 为 数 万 个 网 站 提供 域名 解析 服务 ,对 其 实施 拒绝 服 
务 攻 击 将 可 能 导致 数 万 个 网 站 无 法 访问 ,表面 上 其 攻击 行为 仅 破坏 了 一 台 服务 器 的 功能 ,但 
由 此 引发 的 后 果 却 远大 于 此 。 此 外 ,国家 机 关 或 者 金融 、 电 信和、 交通 、 教 育 \ 医 疗 、 能 源 等 领域 
提供 公共 服务 的 计算 机 信息 系统 承担 着 公共 服务 职能 ,对 其 的 攻击 破坏 后 果 更 为 严重 ,社会 
危害 性 更 大 。 因 此 ,针对 特定 类 型 或 者 特定 领域 计算 机 信息 系统 的 攻击 是 互联 网 上 危害 最 
为 严重 的 攻击 行为 ,应 当 对 其 作出 专门 规定 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ?起 草 过 程 中 , 曾 将 针对 特定 类 型 或 者 特定 领域 的 
计算 机 信息 系统 破坏 活动 规定 为 破坏 计算 机 信息 系统 罪 的 从 重 处 罚 情节 。 经 研究 认为 ,为 
了 体现 对 特定 领域 计算 机 信息 系统 的 特殊 保护 ,应 当 设 定单 独 的 定罪 量刑 标准 。 因 此 ,《 危 
害 计 算 机 信息 系统 安全 犯罪 解释 ) 将 破坏 国家 机 关 或 者 金融 、 电 信 、 交 通 、 教 育 、 医 疗 、 能 源 等 
领域 提供 公共 服务 的 计算 机 信息 系统 的 功能 .数据 或 者 应 用 程序 ,致使 生产 .生活 受到 严重 


影响 或 者 造成 恶劣 社会 影响 的 情形 直接 规定 为 “后果 特 别 严重 ”。 
@ 入 罪 标准 。 


《危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 四 条 第 一 款 规 定 了 “后 果 严 重 ” 的 具体 认定 标 
准 。 对 于 破坏 计算 机 信息 系统 功能 、 数 据 或 者 应 用 程序 行为 ,主要 从 以 下 几 个 方面 认定 “后 
果 严 重 ”: 

破坏 计算 机 信息 系统 的 数量 。 

第 一 《和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 规 定 造成 十 台 以 上 计算 机 信息 系统 的 主要 
软件 或 者 硬件 不 能 正常 运行 的 ,属于 “后 果 严 重 "。 需 要 注意 的 是 ,“ 计 算 机 信息 系统 的 主要 
软件 或 者 硬件 不 能 正常 运行 ”, 不 能 仅仅 理解 为 计算 机 信息 系统 不 能 启动 或 者 不 能 进入 操作 
系统 等 极端 情况 ,而 是 既 包 括 计算 机 信息 系统 主要 软件 或 者 硬件 的 全 部 功能 不 能 正常 运行 ， 
也 包括 计算 机 信息 系统 主要 软件 或 者 硬件 的 部 分 功能 不 能 正常 运行 。 

第 二 ,对 二 十 台 以 上 计算 机 信息 系统 中 存储 处理 或 者 传输 的 数据 进行 删除 ,修改 、 增 加 
的 操作 的 ,应 当 认 定 为 “后果 严 重 ”。 
违法 所 得 、 经 济 损失 的 数额 。 从 司法 实践 来 看 .存在 通过 破坏 计算 机 信息 系统 功能 、 数 
据 或 者 应 用 程序 直接 获 利 或 者 间接 获 利 的 情形 。 例 如 对 于 拒绝 服务 攻击 .有 的 收取 他 人 费 
用 并 帮助 他 人 实施 拒绝 服务 攻击 ,也 有 的 通过 拒绝 服务 攻击 他 人 网 站 后 向 被 攻击 的 网 站 的 
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管理 者 推销 防火 墙 等 产品 获 利 ,这 两 种 情况 分 别 属 于 直接 获 利 或 者 间接 获 利 。 基 于 此 ,《 和 危 
害 计算 机 信息 系统 安全 犯罪 解释 ) 规 定 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 
的 属于 “后 果 严 重 ”。 

在 (危害 计算 机 信息 系统 安全 犯罪 解释 ) 起 草 过 程 中 ,关于 “违法 所 得 数额 ”能 否 作为 确 
定 “ 后 果 严 重 ” 和 “后 果 特 别 严 重 ” 的 标准 问题 ,有 意见 提出 了 质疑 。 经 慎重 研究 ,认为 :“ 违 
法 所 得 数额 ”是 目前 司法 实践 中 最 好 操作 的 标准 ,而 且 违法 所 得 越 多 ,通常 也 会 给 权利 人 带 
来 相应 严重 的 后 果 , 故 具有 相对 合理 性 。 因 此 ,对 “违法 所 得 数额 予以 保留 。 

针对 特定 类 型 的 计算 机 信息 系统 作出 特殊 规定 。《 危 害 计算 机 信息 系统 安全 犯罪 解释 》 
规定 造成 为 一 百 台 以 上 计算 机 信息 系统 提供 域名 解析 、 身 份 认 证 、 计 费 等 基础 服务 或 者 为 一 
万 以 上 用 户 提供 服务 的 计算 机 信息 系统 不 能 正常 运行 累计 一 小 时 以 上 的 ,属于 “后 果 严 重 ”。 
司法 实务 中 应 当 注 意 的 是 ,认定 被 破坏 的 计算 机 信息 系统 是 否 属于 本 款 第 (四 ) 项 中 的 “为 一 
万 以 上 用 户 提 供 服 务 的 计算 机 信息 系统 ”和 第 二 款 第 (二 ) 项 中 “为 五 万 以 上 用 户 提 供 服 务 的 
计算 机 信息 系统 ”, 可 采用 如 下 方法 : 有 注册 用 户 的 按照 其 注册 用 户 数量 统计 ,没有 注册 用 
户 的 按照 其 服务 对 象 的 数量 统计 。 此 外 ,第 (五 ) 项 为 忽 底 条 款 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 四 条 第 二 款 规 定 了 “后 果 特 别 严重 ”的 具体 情 
形 。 第 (一 ) 项 规定 ,通常 情况 下 ,“ 后 果 严 重 ”" 和 “后 果 特 别 严 重 ” 之 间 为 五 倍 的 倍数 关系 。 第 
(二 ) 项 针对 为 其 他 计算 机 信息 系统 提供 基础 服务 或 者 其 他 服务 的 特定 类 型 计算 机 信息 系统 
作出 特殊 规定 。 此 外 ,国家 机 关 或 者 金融 .电信 人、 交通 ,教育 医疗, 能源 领域 的 计算 机 信息 系 
统 主要 用 于 提供 公共 服务 。 考 虑 到 此 类 计算 机 信息 系统 的 特殊 性 ,第 (三 ) 项 将 破坏 该 类 计 
算 机 信息 系统 的 功能 或 者 数据 ,致使 生产 、 生 活 受 到 严重 影响 或 者 造成 恶劣 社会 影响 的 情形 
规定 为 “后 果 特 别 严 重 ”。 

(4) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 行为 的 定罪 量刑 标准 。 

根据 (刑法 ) 第 二 百 八 十 六 条 第 三 款 的 规定 ,故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 行 
为 设 有 两 个 法 定 刑 档次 : 后 果 严 重 的 ,符合 基本 法 定 刑 档 次 ,处 五 年 以 下 有 期 徒刑 或 者 拘 
役 ; 后 果 特 别 严重 的 ,构成 结果 加 重 犯 ,处 五 年 以 上 有 期 徒刑 。 为 统一 司法 适用 《危害 计算 
机 信息 系统 安全 犯罪 解释 ?第 六 条 对 故意 制作 、 传 播 计 算 机 病毒 等 破坏 性 程序 “后果 严重 ”和 
“后 果 特 别 严重 的 具体 情形 作 了 规定 ,明确 了 定罪 量刑 标准 。 

@ 起 草 背景 。 

根据 (刑法 ) 第 二 百 八 十 六 条 第 三 款 的 规定 ,故意 制作 、 传 播 计 算 机 病毒 等 破坏 性 程序 ， 
影响 计算 机 系统 正常 运行 ,是 破坏 计算 机 信息 系统 的 一 种 情形 。( 和 危害 计算 机 信息 系统 安全 
犯罪 解释 ) 起 草 过 程 中 ,着 重 考虑 了 如 下 两 个 问题 : 

。 故意 制作 、 传 播 计算 机 病毒 行为 并 非 独 立 的 提供 工具 犯 。 

《刑法 ?第 二 百 八 十 六 条 第 三 款 对 制作 ,传播 计算 机 病毒 等 破坏 性 程序 作出 了 规定 ,但 这 
一 规定 有 别 于 (刑法) 第 二 百 八 十 五 条 第 三 款 关 于 提供 侵入 、 非 法 控制 计算 机 信息 系统 的 程 
序 \ 工 具 罪 的 规定 ,后 者 是 独立 的 提供 工具 犯 ,对 于 提供 侵入 、 非 法 控制 计算 机 信息 系统 的 程 
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序 、 工 具 的 行为 可 予以 独立 打击 ,而 前 者 并 非 独 立 的 工具 犯罪 ,制作 、 销 售 计算 机 病毒 等 破坏 
性 程序 的 行为 是 否 构成 犯罪 取决 于 其 是 否 “影响 计算 机 系统 正常 运行 "。 故 意 制作 ,传播 计 
算 机 病毒 等 破坏 性 程序 是 破坏 计算 机 信息 系统 罪 的 一 种 行为 方式 ,故意 制作 计算 机 病毒 并 
销售 ,但 病毒 并 未 被 植 人 计算 机 信息 系统 ,不 可 能 给 计算 机 信息 系统 造成 影响 ,不 能 依照 破 
坏 计 算 机 信息 系统 罪 定 罪 处 罚 。 因 此 ,对 于 互联 网 上 制作 、 销 售 计算 机 病毒 等 破坏 性 程序 的 
行为 无 法 像 制作 、 提 供 专门 用 于 非法 控制 计算 机 信息 系统 ,非法 获取 数据 的 程序 的 行为 那样 
进行 独立 打击 ,只 有 制作 、 提 供 的 计算 机 病毒 等 破坏 性 程序 最 终 被 使 用 并 产生 影响 计算 机 信 
息 系 统 正 常 运行 后 果 的 行为 ,才能 依据 破坏 计算 机 信息 系统 罪 子 以 打击 。 例 如 , 备 受 社会 各 
界 关 注 的 “熊猫 烧香 "病毒 案 。2006 年 10 月 ,行为 人 李 义 编写 了 "熊猫 烧香 ?病毒 并 在 网 上 
广泛 传播 ,并 且 还 以 自己 出 售 和 由 他 人 代 卖 的 方式 ,在 网 络 上 将 该 病毒 销售 给 120 余人 , 非 
法 获 利 10 万 余 元 。 经 病毒 购买 者 进一步 传播 ,导致 该 病毒 的 各 种 变种 在 网 上 大 面积 传播 ， 
对 互联 网 用 户 计算 机 安全 造成 了 严重 破坏 。 李 XX 还 于 2003 年 编写 了 “武汉 男生 ”病毒 ,于 
2005 年 编写 了 “武汉 男生 2005" 病 毒 及 “QQ 尾巴 "病毒 。 此 外 ,其 他 行为 人 通过 改写 、 传 播 
“熊猫 烧香 ”等 病毒 ,构建 “僵尸 网 络 ”, 通 过 盗窃 各 种 游戏 和 QQ 账号 等 方式 非法 牟利 。 法 院 
认定 被 告 人 李 X 犯 破坏 计算 机 信息 系统 罪 , 判 处 有 期 徒刑 四 年 ; 其 他 被 告 人 也 构成 破坏 计 
算 机 信息 系统 罪 , 判 处 相应 刑罚 。 本 案 中 ,行为 人 李 X 等 制作 ,传播 "熊猫 烧香 ”等 病毒 ,车 未 
造成 影响 计算 机 信息 系统 正常 运行 的 后 果 , 尚 不 构成 破坏 计算 机 信息 系统 罪 。 但 在 本 案 中 ， 
被 告 人 李 X 等 制作 ,传播 的 计算 机 病毒 ,特别 是 “熊猫 烧 香 " 病 毒 及 其 变种 在 互联 网 上 通过 多 
种 方式 大 规模 传播 ,并 将 感染 的 所 有 程序 文件 改 成 熊猫 举 着 三 根 香 的 模样 ,同时 该 病毒 还 具 
有 盗 取 用 户 游戏 账号 .QQ 账号 等 功能 。 该 病毒 传播 速度 快 ,危害 范围 广 , 有 上 百 万 个 人 用 
户 、 网 吧 及 企业 局 域 网 用 户 遭 受 感染 和 破坏 ,严重 影响 了 众多 计算 机 系统 正常 运行 ,后 果 严 
重 ,应 当 认 定 为 破坏 计算 机 信息 系统 罪 。 

。 将 一 对 一 提供 计算 机 病毒 等 破坏 性 程序 的 情形 纳入 刑事 规制 范围 。 

基于 危害 计算 机 信息 系统 安全 犯罪 的 特殊 性 , 宜 将 一 对 一 的 情形 也 理解 为 传播” 即 针 
对 某 个 计算 机 实施 病毒 破坏 的 行为 ,也 应 视 为 “故意 传播 计算 机 病毒 等 破坏 性 程序 ”。 但 是 
上 述 行为 必须 最 终 导 致 * 影 响 计算 机 信息 系统 正常 运行 ”, 即 其 制作 ,提供 的 计算 机 病毒 等 破 
坏 性 程序 最 终 被 使 用 并 产生 后 果 , 否则 不 能 认定 为 破坏 计算 机 信息 系统 罪 。 

@ 定罪 量刑 标准 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ?第 六 条 第 一 款 明确 了 故意 制作 、 传 播 计算 机 病毒 
等 破坏 性 程序 “后果 严重 ”的 具体 认定 标准 。 该 司法 解释 第 五 条 第 (一 ) 项 规定 了 计算 机 病毒 
程序 具有 自我 复制 传播 特性 ,其 传播 方式 容易 引起 大 规模 传播 。 由 于 此 类 程序 一 经 传播 即 
无 法 控制 其 传播 面 , 也 无 法 对 被 侵害 的 计算 机 逐一 取证 确认 其 危害 后 果 , 因 此 《危害 计算 机 
信息 系统 安全 犯罪 解释 ?规定 制作 、 提 供 、 传 输 该 类 程序 ,只 要 导致 该 程序 通过 网 络 、 存 储 介 
质 、 文 件 等 媒介 传播 的 , 即 应 当 认定 为 "后 果 严 重 ”。 而 "逻辑 炸弹 ”等 其 他 破坏 性 程序 在 未 触 
发 之 前 ,并 不 破坏 计算 机 信息 系统 ,只 存在 潜在 的 破坏 性 ,只 有 向 被 害 计算 机 信息 系统 植 入 
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该 程序 , 才 满足 "影响 计算 机 信息 系统 正常 运行 ”的 要 件 。 因 此 ,和 危害 计算 机 信息 系统 安全 
犯罪 解释 ?规定 向 二 十 台 以 上 计算 机 系统 植 和 人 其 他 的 破坏 性 程序 的 ,应 当 认 定 为 后果 严 
重 ”。 以 提供 计算 机 病毒 等 破坏 性 程序 的 人 次 、 违 法 所 得 数额 ,经济 损失 数额 作为 衡量 “后 果 
严重 ”的 标准 《和 危害 计算 机 信息 系统 安全 犯罪 解释 ?规定 提供 计算 机 病毒 等 破坏 性 程序 十 人 
次 以 上 、 违 法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 属于 后 果 严 重 。 此 外 ,第 六 条 还 
设置 了 多 底 条 款 。 

第 六 条 第 二 款 规 定 了 * 后 果 特 别 严重 ”的 认定 标准 。 计 算 机 病毒 容易 被 大 规模 传播 , 且 
一 经 传播 即 无 法 控制 其 传播 面 , 故 第 (一 ) 项 特别 规定 制作 、 提 供 、 传 输 计算 机 病毒 ,导致 该 程 
序 通 过 网 络 、 存 储 介质 、 文 件 等 媒介 传播 ,致使 生产 、 生 活 受 到 严重 影响 或 者 造成 恶劣 社会 影 
响 的 ,应 属 * 后 果 特 别 严重 *”。 其 他 情况 下 .“ 后 果 严 重 ”" 和 “后 果 特 别 严 重 ” 之 间 为 五 倍 的 倍数 

3.《 和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 法 律 适 用 疑难 问题 

(1) 掩饰 .隐瞒 计算 机 信息 系统 数据 ,控制 权 行为 的 定性 。 

危害 计算 机 信息 系统 安全 犯罪 活动 的 一 个 重要 特点 是 分 工 细 化 。 例 如 ,在 非法 获取 计 
算 机 信息 系统 数据 活动 中 ,制作 非法 获取 数据 的 程序 .传播 用 于 非法 获取 数据 的 程序 ,非法 
获取 数据 .获取 数据 后 销赃 获 利 、 使 用 数据 等 行为 通常 由 不 同人 员 实 施 。 这 些 行为 由 于 行为 
人 之 间 事 前 无 通 谋 ,欠缺 共同 犯罪 故意 ,难以 依据 共同 犯罪 子 以 打击 。 目 前 ,收购 、 代 为 销售 
或 者 以 其 他 方法 掩饰 .隐瞒 计算 机 信息 系统 数据 ,控制 权 的 行为 已 经 非常 泛滥 ,甚至 形成 了 
大 规模 的 网 上 交易 平台 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ?第 七 条 明确 了 明知 是 非法 获取 计算 机 信息 系统 数 
据 犯 罪 所 获取 的 数据 ,非法 控制 计算 机 信息 系统 犯罪 所 获取 的 计算 机 信息 系统 控制 权 , 而 予 
以 转移 ,收购 .代为 销售 或 者 以 其 他 方法 掩饰 .隐瞒 行为 的 定性 问题 。 

《危害 计算 机 信息 系统 安全 犯罪 解释 ) 起 草 过 程 中 ,最 初 拟 将 明知 是 非法 获取 计算 机 信 
息 系 统 数 据 犯 罪 所 获取 的 数据 、 非 法 控制 计算 机 信息 系统 犯罪 所 获取 的 计算 机 信息 系统 控 
制 权 ,而 予以 倒卖 的 行为 以 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 罪 的 共同 犯 
罪 论 处 。 经 深入 研究 ,未 采纳 上 述 方案 。 主 要 考虑 如 下 : 其 一 ,倒卖 非法 获取 的 计算 机 信息 
系统 数据 犯罪 所 获取 的 数据 ,非法 控制 计算 机 信息 系统 犯罪 所 获取 的 计算 机 信息 系统 控制 
权 的 行为 ,在 危害 计算 机 信息 系统 安全 犯罪 中 起 到 了 重要 的 作用 ,实际 危害 十 分 严重 。 如 果 
将 其 作为 共同 犯罪 处 理 , 假 如 非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 系统 的 行为 人 
未 达到 入 罪 的 标准 , 则 无 法 将 倒卖 者 作为 共犯 处 理 。 其 二 ,计算 机 信息 系统 数据 ,控制 权 的 
倒卖 通常 环节 众多 ,规模 庞大 ,要 查 清 每 个 计算 机 信息 系统 数据 、 控 制 权 的 具体 来 源 几乎 不 
可 能 ,如 果 按 照 共 同 犯罪 处 理 , 则 获 利 最 大 的 倒卖 者 容易 逃避 打击 。 

《刑法 修正 案 ( 六 ) 兴 刑法 修正 案 (七 ) ) 均 对 1997 年 刑法 第 三 百 一 十 二 条 进行 了 修改 , 形 
成 了 现在 的 表述 。 从 现行 规定 来 看 《刑法 ) 第 三 百 一 十 二 条 的 对 象 不 限于 赃物 ,而 是 涵盖 除 
《刑法 ) 第 一 百 九 十 一 条 规定 的 洗钱 罪 的 上 游 犯 罪 以 外 的 所 有 犯罪 的 犯罪 所 得 及 其 产生 的 收 
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益 。 因 此 ,“ 刑 法 第 三 百 一 十 二 条 的 适用 范围 就 扩大 到 了 除 刑法 第 一 百 九 十 一 条 规定 的 上 游 
犯罪 以 外 的 所 有 犯罪 . "了 基于 上 述 考虑 ,刑法 第 二 百 八 十 五 条 第 二 款 涉 及 的 行为 也 应 当成 
为 刑法 第 三 百 一 十 二 条 的 适用 范围 。 明 知 是 非法 获取 计算 机 信息 系统 数据 犯罪 所 获取 的 数 
据 、 非 法 控制 计算 机 信息 系统 犯罪 所 获取 的 计算 机 信息 系统 控制 权 , 而 予以 转移 、 收 购 、 代 为 
销售 或 者 以 其 他 方法 掩饰 .隐瞒 的 ,应 当 构成 掩饰 .隐瞒 犯罪 所 得 罪 。 针 对 司法 实践 的 具体 
情形 《危害 计算 机 信息 系统 安全 犯罪 解释 ?第 七 条 第 一 款 规定 : 明知 是 非法 获取 计算 机 信 
息 系 统 数据 犯罪 所 获取 的 数据 ,非法 控制 计算 机 信息 系统 犯罪 所 获取 的 计算 机 信息 系统 控 
制 权 , 而 予以 转移 ,收购 、 代 为 销售 或 者 以 其 他 方法 掩饰 .隐瞒 的 ,违法 所 得 数额 在 五 千 元 以 
上 的 ,以 掩饰 .隐瞒 犯罪 所 得 罪 追究 刑事 责任 。 第 二 款 规 定 违法 所 得 数额 在 五 万 元 以 上 的 ， 
应 当 认定 为 “情节 严重 *。 针 对 单位 犯罪 的 情形 ,第 三 款 专门 规定 单位 犯罪 的 ,定罪 量刑 标准 
依照 自然 人 犯罪 的 定罪 量刑 标准 执行 。 

需要 说 明 的 是 《刑法 ;第 三 百 一 十 二 条 规定 的 “犯罪 所 得 ”过 去 多 限于 财产 .物品 等 ,将 
其 适用 于 计算 机 信息 系统 数据 ,控制 权 , 是 否 可 行 ,有 关 方 面 认识 不 一 。 本 书 认为 ,计算 机 信 
息 系统 数据 ,控制 权 可 以 成 为 掩饰 .隐瞒 犯罪 所 得 罪 的 犯罪 对 象 。 主 要 有 如 下 考虑 : 一 是 计 
算 机 信息 系统 数据 ,控制 权 是 一 种 无 形 物 ,属于 “犯罪 所 得 ”的 范畴 ,理应 成 为 掩饰 .隐瞒 犯罪 
所 得 罪 的 对 象 。 将 计算 机 信息 系统 数据 、 控 制 权 解释 为 犯罪 所 得 ,符合 罪刑 法 定 原则 。 二 是 
从 刑法 体系 看 《刑法 }? 第 三 百 一 十 二 条 的 掩饰 隐瞒 犯罪 所 得 罪 的 上 游 犯罪 应 该 涵盖 第 一 百 
九 十 一 条 洗钱 罪 规定 的 上 游 犯 罪 以 外 的 所 有 犯罪 ,理应 适用 于 危害 计算 机 信息 系统 安全 犯 
罪 。 三 是 作出 这 种 解释 ,也 是 司法 实践 的 现实 需要 。 从 危害 计算 机 信息 系统 安全 犯罪 的 现 
状 来 看 ,掩饰 隐瞒 计 算 机 信息 系统 数据 、 控 制 权 的 现象 十 分 突出 ,不 予以 打击 将 无 法 切断 危 
害 计算 机 信息 系统 安全 犯罪 的 利益 链条 ,难以 切实 保障 计算 机 信息 系统 安全 。 

(2) 以 单位 名 义 或 者 单位 形式 实施 危害 计算 机 信息 系统 安全 犯罪 的 处 理 规则 。 

《和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 八条 规定 :“ 以 单位 名 义 或 者 单位 形式 实施 危 
害 计算 机 信息 系统 安全 犯罪 ,达到 本 解释 规定 的 定罪 量刑 标准 的 ,应 当 依照 (刑法 ) 第 二 百 八 
十 五 条 ,第 二 百 八 十 六 条 的 规定 追究 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 的 刑事 
责任 。” 

2015 年 (刑法 修正 案 ( 九 )》 出 台 , 分 别 在 (刑法 ) 第 二 百 八 十 五 和 第 二 百 八 十 六 条 之 后 增 
加 一 款 , 作 为 各 自 的 第 四 款 ,其 内 容 就 是 对 单位 犯罪 加 以 规范 。《 刑 法 ) 第 二 百 八 十 五 条 第 四 
款 :“ 单 位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 .? 第 二 百 八 十 六 条 第 四 款 :“ 单 位 犯 前 三 款 罪 的 ,对 单位 判处 罚 
金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 .依照 第 一 款 的 规定 处 罚 , ”并且 在 其 他 
针对 网 络 犯罪 增设 的 发 条 中 也 都 加 入 了 对 单位 犯罪 的 规范 。《 刑 法 修正 案 ( 九 )》 的 这 些 修 
改 ,实际 上 是 将 (危害 计算 机 信息 系统 安全 犯罪 解释 ) 中 已 有 的 对 单位 作为 犯罪 主体 的 情形 
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所 作 的 规范 ,正式 列 人 《刑法 》。 因 此 ,在 基本 的 处 理 规 则 上 ,和 危害 计算 机 信息 系统 安全 犯罪 
解释 ) 关 于 单位 犯罪 自动 失效 ,以 (刑法 修正 案 ( 九 )) 新 修改 之 内 容 为 准 。 

(3) 危害 计算 机 信息 系统 安全 共同 犯罪 的 处 理 规则 。 

《和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 第 九条 规定 :“ 明 知 他 人 实施 刑法 第 二 百 八 十 五 
条 、 第 二 百 八 十 六 条 规定 的 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 共同 犯罪 ,依照 刑法 第 二 
百 八 十 五 条 、 第 二 百 八 十 六 条 的 规定 处 罚 : (一 ) 为 其 提供 用 于 破坏 计算 机 信息 系统 功能 、 数 
据 或 者 应 用 程序 的 程序 .工具 ,违法 所 得 五 千 元 以 上 或 者 提供 十 人 次 以 上 的 ; (二 ) 为 其 提供 
互联 网 接 入 、 服 务 器 托管 网络 存 储 空间 、 通 信 传 输 通道 ,费用 结算 、 交 易 服 务 、 广 告 服务 、 技 
术 培 训 、 技 术 支 持 等 帮助 ,违法 所 得 五 千 元 以 上 的 ; (三 ) 通 过 委托 推广 软件 ,投放 广告 等 方 
式 向 其 提供 资金 五 千 元 以 上 的 。 实 施 前 款 规定 行为 ,数量 或 者 数额 达到 前 款 规 定 标准 五 倍 
以 上 的 ,应 当 认 定 为 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 规定 的 “情节 特别 严重 ' 或 者 “后 
果 特 别 严 重 ”。” 

@ 网 络 犯罪 的 分 工 细 化 与 利益 链条 。 

网 络 犯 罪 一 个 极为 重要 的 特点 就 是 犯罪 活动 分 工 细 化 ,并 逐步 形成 由 各 个 作案 环节 构 
成 的 利益 链条 ,这 是 网 络 犯 罪 泛 滥 的 主要 原因 之 一 。 

以 危害 计算 机 信息 系统 安全 犯罪 为 例 ,为 危害 计算 机 信息 系统 违法 犯罪 行为 提供 用 于 
破坏 计算 机 信息 系统 功能 数据 的 程序 ,提供 互联 网 接 入 .服务 器 托管 .网络 存储 空间 、 通 信 
传输 通道 .费用 结算 .交易 服务 .广告 服务 .技术 培 训 、 技 术 支 持 等 帮助 ,通过 委托 其 推广 软 
件 、 投 放 广 告 等 方式 向 其 提供 资金 等 行为 十 分 突出 ,行为 人 从 中 人 牟取 了 巨大 利益 ,也 使 得 实 
施 危 害 计 算 机 信息 系统 安全 犯罪 活动 的 “技术 门槛 "日益 降 低 。 例 如 ,在 司法 实践 中 ,很 多 实 
施 危 害 计 算 机 信息 系统 安全 犯罪 活动 的 行为 人 只 有 初中 文化 程度 ,其 往往 是 通过 购买 用 于 
破坏 计算 机 信息 系统 功能 ,数据 的 程序 、 工 具 或 者 获取 技术 帮助 进而 实施 危害 计算 机 信息 系 
统 安 全 犯罪 的 。 再 如 ,通过 互联 网 搜索 引擎 可 以 发 现 ,黑客 培训 广告 已 经 漫天 遍野 。 可 以 
说 ,危害 计算 机 信息 系统 安全 犯罪 活动 分 工 细 化 和 进而 形成 的 利益 链条 ,导致 了 危害 计算 机 
信息 系统 安全 犯罪 活动 迅速 蔓延 。 

@ 利益 链条 的 打击 与 共同 犯罪 处 理 的 疑难 。 

打击 危害 计算 机 信息 系统 安全 犯罪 的 关键 是 要 斩 断 利益 链 。 立 足 现行 刑法 规定 ,对 于 
利益 链条 的 打击 主要 靠 适用 共同 犯罪 的 有 关 规 定 。 然 而 ,在 网 络 环境 下 ,共同 犯罪 具有 殊 于 
传统 共犯 的 特性 。 在 传统 犯罪 中 ,一 个 人 通常 只 能 是 一 个 或 者 数 个 人 的 共犯 。 而 在 网 络 犯 
罪 中 ,一 个 人 往往 能 够 成 为 很 多 人 的 共犯 。 例 如 ,用 于 破坏 计算 机 信息 系统 功能 .数据 的 程 
序 . 工 具 的 制造 者 ,可 以 向 数 以 万 计 甚至 更 多 的 破坏 计算 机 信息 系统 行为 人 提供 程序 .工具 ， 
成 为 破坏 计算 机 信息 系统 实行 行为 的 帮助 犯 。 在 这 种 背景 下 .一 方面 .要 求 抓获 所 有 接受 帮 
助 行为 的 实行 犯 并 查 清 相 关 情 况 , 在 司法 实践 中 不 具有 可 操作 性 。 以 提供 程序 、 工 具 的 帮助 
为 例 ,提供 者 通常 是 以 层 层 代理 的 方式 销售 ,规模 庞大 ,要 查 清 每 个 销售 出 去 的 程序 和 工具 
是 否 被 用 于 实施 网 络 攻击 几乎 是 不 可 能 的 , 获 利 最 大 的 提供 者 很 容易 逃避 打击 。 男 一 方面 ， 
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可 能 存在 所 有 的 实行 行为 均 未 达到 和 人 罪 标准 ,但 帮助 犯 由 于 向 数 以 万 计 实 行 行为 提供 了 帮 
助 ,其 行为 性 质 非常 严重 的 情况 ,对 此 具有 刑罚 必要 性 。 例 如 ,行为 人 开发 了 程序 ,并 将 这 个 
程序 通过 层 层 代理 的 方式 销售 。 依 据 传统 的 共同 犯罪 理论 ,只 有 使 用 犯罪 工具 的 人 ,也 就 是 
通常 所 说 的 实行 犯 构成 犯罪 .才能 对 帮助 犯 子 以 刑事 处 罚 ,假如 使 用 这 些 程序 的 人 员 实 施 的 
行为 不 够 刑事 处 罚 , 则 无 法 将 提供 者 作为 共犯 处 理 。 

@ 网 络 共同 犯罪 疑难 的 司法 应 对 。 

网 络 共 同 犯罪 的 问题 非常 复杂 ,但 是 这 种 现象 又 非常 普遍 ,必须 了 予以 解决 ,才能 妥善 处 
理 网 络 犯罪 刑事 法 律 适用 的 问题 。 从 刑法 .司法 解释 .规范 性 文件 的 相关 规定 来 看 ,解决 网 
络 共同 犯罪 的 问题 ,主要 有 三 种 途径 : 

第 一 ,将 为 实施 网 络 犯 罪 提 供 帮 助 的 行为 ,也 就 是 网 络 犯 罪 帮 助 行为 独立 规定 为 犯罪 ， 
规定 单独 的 定罪 量刑 标准 。 这 是 最 为 理想 的 一 种 解决 方式 ,也 是 适用 中 最 无 争议 的 方式 。 
实际 上 ,立法 已 经 尝试 在 这 方面 努力 了 。 针 对 非法 获取 计算 机 信息 系统 数据 控制 计算 机 信 
息 系统 犯罪 中 提供 犯罪 工具 的 现象 十 分 突出 的 情况 ,《 刑 法 修正 案 (七 )) 在 (刑法 ) 第 二 百 八 
十 五 条 中 第 三 款 增设 了 独立 的 提供 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 、 工 具 罪 。《 刑 法 
修正 案 ( 七 )) 通 过 立法 的 方式 实现 了 “共犯 行为 独立 化 ”, 将 本 来 是 非法 获取 计算 机 信息 系统 
数据 、 控 制 计算 机 信息 系统 犯罪 中 的 帮助 行为 独立 化 ,作为 单独 的 犯罪 处 理 。 

第 二 ,通过 司法 解释 明确 对 一 些 网 络 帮助 犯罪 行为 按照 独立 的 犯罪 处 理 。 由 《刑法 ;将 
网 络 共同 犯罪 独立 化 ,规定 单独 的 罪名 ,是 解决 网 络 共同 犯罪 问题 最 为 理想 的 方式 。 但 是 ， 
在 立法 统一 修改 前 ,有 些 时 候 还 得 依靠 司法 解释 来 明确 其 中 的 相关 问题 。 例 如 《淫秽 电子 
信息 犯罪 解释 (二 )》 第 四 条 至 第 六 条 规定 对 有 关 行 为 按照 (刑法 ?第 三 百 六 十 二 条 、 三 百 六 十 
三 条 规定 的 独立 犯罪 处 理 。 而 此 前 ,淫秽 电子 信息 犯罪 解释 ?规定 对 这 些 行为 按照 共同 犯 
罪 处 理 , 但 是 ,实践 证 明 , 对 这 些 行 为 适用 共同 犯罪 处 理 存 在 操作 困难 。 因 此 《淫秽 电子 信 
息 犯 罪 解 释 ( 二 )》 作 了 扩大 解释 ,明确 对 这 些 行为 按照 独立 的 犯罪 处 理 。 通 过 制定 司法 解释 
的 方式 ,明确 对 一 些 网 络 帮 助 犯罪 行为 按照 独立 犯罪 处 理 ,也 是 一 种 比较 理想 的 方式 ,但 必 
须 符合 刑法 的 相关 规定 ,符合 罪刑 法 定 原则 的 要 求 。 

第 三 ,作为 共同 犯罪 处 理 , 但 是 规定 单独 的 定罪 量刑 标准 。 实 践 中 存在 一 些 网 络 帮助 犯 
罪行 为 ,刑法 既 没 有 将 其 独立 规定 为 单独 的 犯罪 ,也 无 法 通过 扩大 解释 的 方式 将 其 解释 为 独 
立 犯 罪 。 针 对 这 些 情 形 , 有 关 司 法 解释 和 规范 性 文件 专门 规定 了 独立 的 定罪 量刑 标准 。 

例如 ,淫秽 电子 信息 犯罪 解释 (二 )》 第 七 条 规定 ,实施 通过 投放 广告 等 方式 向 淫秽 网 站 
直接 或 者 间接 提供 资金 ,或 者 提供 费用 结算 服务 行为 ,构成 制作 、 复 制 . 出 版 ,贩卖 .传播 淫秽 
物品 件 利 罪 的 共同 犯罪 ,但 是 设置 了 独立 的 标准 : 第 (一 ) 项 以 提供 资金 的 网 站 数量 为 标准 ， 
即 向 十 个 以 上 淫秽 网 站 投放 广告 或 者 以 其 他 方式 提供 资金 的 构成 犯罪 ; 第 (二 ) 项 以 投放 | 
告 数 量 为 标准 , 即 向 淫秽 网 站 投放 广告 在 二 十 条 以 上 的 构成 犯罪 ; 第 (三 ?项 以 向 其 提供 费 
用 结算 服务 的 淫秽 网 站 数量 为 标准 , 即 向 十 个 以 上 淫秽 网 站 提供 费用 结算 服务 的 构成 犯罪 ; 
第 (四 ) 项 以 提供 资金 的 数量 为 标准 , 即 以 投放 广告 或 者 其 他 方式 向 淫秽 网 站 提供 资金 数额 
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在 五 万 元 以 上 的 构成 犯罪 ; 第 (五 ) 项 以 提供 费用 结算 服务 所 收取 服务 费 数额 为 标准 , 即 为 
淫秽 网 站 提供 费用 结算 服务 ,收取 服务 费 数额 在 二 万 元 以 上 的 构成 犯罪 ; 第 (六 ) 项 是 关于 
忽 底 条 款 的 规定 。 

《网 络 赌博 犯罪 意见 ) 第 二 条 “关于 网 上 开设 赌场 共同 犯罪 的 认定 和 处 罚 ” 规 定 ,明知 是 
赌博 网 站 ,而 为 其 提供 下 列 服务 或 者 帮助 的 ,属于 开设 赌场 罪 的 共同 犯罪 ,依照 (刑法 ) 第 三 
百 零 三 条 第 二 款 的 规定 处 罚 : 

第 一 ,为 赌博 网 站 提供 互联 网 接 入 、 服 务 器 托管 .网络 存储 空间 、 通 讯 传 输 通道 ,投放 广 
告 , 发 展会 员 、 软 件 开 发 ,技术 支持 等 服务 ,收取 服务 费 数 额 在 二 万 元 以 上 的 ; 

第 二 ,为 赌博 网 站 提供 资金 支付 结算 服务 ,收取 服务 费 数额 在 一 万 元 以 上 或 者 帮助 收取 
赌资 二 十 万 元 以 上 的 ; 

第 三 ,为 十 个 以 上 赌博 网 站 投放 与 网 址 、 赔 率 等 信息 有 关 的 广告 或 者 为 赌博 网 站 投放 广 
告 累计 一 百 条 以 上 的 。 

@ 危害 计算 机 信息 系统 安全 共同 犯罪 的 处 理 。 

基于 宽 严 相 济 刑事 政策 的 考量 ,按照 (淫秽 电子 信息 犯罪 解释 (二 )》 第 七 条 《网 络 赌博 
犯罪 意见 》 第 二 条 的 思路 《危害 计算 机 信息 系统 安全 犯罪 解释 》 对 于 共犯 的 成 立 设置 了 独立 
的 定罪 量刑 标准 ,对 情节 严重 的 行为 予以 刑事 惩治 。 其 第 九条 的 目的 就 是 打击 黑客 攻击 破 
坏 活动 相关 利益 链条 : 由 于 《刑法 ) 二 百 八 十 五 条 第 三 款 将 明知 他 人 实施 侵入 、 非 法 控制 计 
算 机 信息 系统 而 向 其 提供 程序 工具 的 行为 人 罪 , 而 对 于 “明知 他 人 实施 破坏 计算 机 信息 系 
统 功能 或 者 数据 的 犯罪 行为 ,而 为 其 提供 用 于 破坏 计算 机 信息 系统 功能 、 数 据 或 者 应 用 程序 
的 程序 或 者 工具 ”的 行为 并 未 单独 入 罪 处 罚 , 第 (一 ) 项 将 其 作为 共犯 处 理 ; 第 (二 ) 项 将 向 危 
害 计算 机 系统 安全 行为 提供 帮助 获 利 的 行为 作为 共犯 处 理 ; 第 (三 ) 项 将 从 危害 计算 机 信息 
系统 安全 行为 获得 帮助 并 向 其 提供 资金 的 行为 作为 共犯 处 理 。 

在 司法 适用 过 程 中 ,需要 注意 如 下 两 个 问题 : 

第 一 ,跨国 共同 犯罪 的 处 理 问题 。 由 于 网 络 的 无 国界 ,危害 计算 机 信息 系统 安全 犯罪 行 
为 和 犯罪 结果 可 能 分 别 发 生 在 中 华人 民 共 和 国 领 域内 外 。 根 据 ( 刑 法 ) 第 六 条 的 规定 ,犯罪 
的 行为 或 者 结果 有 一 项 发 生 在 中 华人 民 共 和 国 领域 内 的 ,就 认为 是 在 中 华人 民 共 和 国 领域 
内 犯罪 。 因 此 ,对 于 这 类 危害 计算 机 信息 系统 安全 犯罪 案件 ,只 要 其 危害 后 果 最 终 发 生 在 中 
华人 民 共 和 国 领域 内 ,应 当 认 为 是 在 中 华人 民 共 和 国 领 域内 犯罪 ,应 当 适 用 我 国 刑 法 的 相关 
规定 。 在 此 前 提 下 ,可 能 对 境外 实行 犯 无 法 实际 行使 刑事 管辖 权 , 在 境外 实行 犯 未 归案 的 情 
况 下 ,对 于 为 境外 实行 犯 提供 帮助 的 境内 行为 人 ,应 当 依照 本 条 确定 的 规则 处 理 。 

第 二 ,帮助 犯 在 共同 犯罪 中 的 类 型 认定 问题 。 与 传统 犯罪 不 同 ,网 络 环境 中 的 帮助 犯 
在 共同 犯罪 中 所 起 的 作用 具有 一 定 的 特殊 性 和 复杂 性 ,并 非 只 起 次 要 和 辅助 作用 ,也 可 
能 起 主要 作用 。 因 此 ,对 于 行为 人 帮助 他 人 实施 (刑法 ) 第 二 百 八 十 五 条 ,第 二 百 八 十 六 
条 规定 的 行为 的 ,应 当 根 据 其 在 共同 犯罪 中 的 作用 予以 认定 , 既 可 以 认定 为 主犯 ,也 可 以 
认定 为 从 犯 。 


54 网 络 犯罪 侦查 


3.3 计算 机 网 络 作为 犯罪 工具 的 法 律 规制 


1997 年 (中华 人民 共和 国 刑法 》 增 加 第 二 百 八 十 七 条 “利用 计算 机 实施 金融 诈骗 、 盗 
窃 、 贪 污 、 挪 用 公款 、 窃 取 国 家 秘密 或 者 其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 ”。 目 的 是 
打击 以 网 络 作为 工具 的 犯罪 活动 : 2015 年 《中 华人 民 共 和 国 刑法 修正 案 ( 九 )》 在 第 二 百 八 
十 六 条 中 新 增 两 个 罪名 ;“ 非 法 利用 信息 网 络 罪 ” 和 “帮助 信息 网 络 犯 罪 活 动 罪 ”D。 除 此 之 
外 ,《 刑 法 ) 中 还 有 第 二 百 八 十 八条 和 第 二 百 九 十 一 条 的 关于 网 络 作 为 工具 的 犯罪 的 法 律 规 
定 。 这 些 案 件 统称 为 “ 涉 网 犯罪 ”。 


3.3.1 计算 机 网 络 作为 工具 的 犯罪 定性 


1997 年 刑法》 第 二 百 八 十 七 条 规定 :“ 利 用 计算 机 实施 金融 诈骗 盗窃、 贪污、 挪用 公 
款 、 窃 取 国家 秘密 或 者 其 他 犯罪 的 ,依照 本 法 有 关 规定 定罪 处 罚 。? 该 条 强调 以 * 计 算 机 ?作为 
犯罪 工具 实施 诈骗 ,盗窃 等 传统 犯罪 的 ,仍然 应 当 依照 刑法 规定 定罪 量刑 。 而 随 着 网 络 的 发 
展 ,计算 机 逐渐 融入 网 络 之 中 。 因 此 可 以 认定 (刑法 ) 第 二 百 八 十 七 条 就 是 针对 传统 犯罪 的 
网 络 化 。 

对 此 ,不 能 作 如 下 理解 : 对 于 利用 计算 机 实施 金融 诈骗 盗窃、 贪污 、 挪 用 公款 、 窃 取 国 
家 秘密 或 者 其 他 犯罪 ,属于 牵连 犯 《 刑 法》 第 二 百 八 十 七 条 已 对 此 做 出 了 特别 规定 ,对 此 种 
情况 只 能 依据 目的 行为 或 者 结果 行为 所 触犯 的 罪名 定罪 处 罚 ,司法 实践 中 无 须 再 判断 重罪 , 
立 当 直接 适用 目的 行为 或 者 结果 行为 所 涉及 的 罪名 。 如 果 作 这 种 理解 ,在 通过 实施 危害 计 
算 机 信息 系统 安全 犯罪 进而 实施 敲诈 勒索 、 破 坏 生 产 经 营 等 犯罪 的 情形 下 ,可 能 会 出 现 罪刑 
失衡 的 问题 。 例 如 ,在 2011 年 4 月 30 日 之 前 ,行为 人 通过 实施 拒绝 服务 攻击 ,对 他 人 实施 
敲诈 勒索 的 ,结果 导致 出 现 了 大 规模 网 络 瘫痪 的 情况 。 此 种 情况 下 ,如 果 按 照 敲 诈 勒 索 罪 定 
罪 处 罚 , 最 高 只 能 处 十 年 有 期 徒刑 ,而 如 果 按 照 破坏 计算 机 信息 系统 罪 定罪 处 罚 , 最 高 可 以 
处 十 五 年 有 期 徒刑 。 更 为 极端 的 情况 是 ,行为 人 实施 拒绝 服务 攻击 行为 ,以 实现 破坏 他 人 生 
产 经 营 的 目的 ,按照 破坏 生产 经 营 罪 最 高 只 能 处 七 年 以 下 有 期 徒刑 ,更 为 不 合理 。 因 此 ,此 
种 情况 下 ,仍然 应 依据 刑法 理论 和 刑法 规定 ,按照 * 从 一 重 处 断 ” 原 则 处 理 ,以 免 出 现 将 ( 刑 
法 ) 第 二 百 八 十 六 条 规定 的 “破坏 计算 机 信息 系统 罪 ” 作 为 网 络 时 代 “ 口 袋 罪 ”, 造 成 罪刑 的 
失衡 。 

但 是 ,司法 实践 的 发 展 和 法 律 最 初 制定 时 的 设计 难免 有 背道而驰 的 现象 发 生 。 目 前 ,只 
要 涉及 计算 机 或 者 网 络 的 案件 ,在 司法 实践 中 似乎 出 现 了 “破坏 计算 机 信息 系统 罪 就 是 唯 
一 的 定性 选择 的 潜 规 则 ,《 刑 法》 第 二 百 八 十 六 条 在 事实 上 已 经 逐渐 成 为 "口袋 罪 ”, 赛 括 了 所 
有 涉 网 的 传统 犯罪 行为 。 而 (刑法 ) 第 二 百 八 十 七 条 在 1997 年 制定 之 初 ,实际 上 是 指向 未 来 


中 《最 高 人 民法 院 . 最 高 人 民 检察 院 关 于 执行 (中 华人 民 共 和 国 刑法 确定 罪名 的 补充 规定 (六 ))》。 
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可 能 出 现 的 犯罪 形态 的 预测 性 条 款 。 因 此 在 当时 的 技术 背景 下 ,只 是 以 “计算 机 ”一 词 泛 指 
各 类 新 工具 ,而 并 没有 使 用 “网 络 ” 这 一 措辞 ,造成 因 时 代 背 景 而 留 下 的 法 条 遗憾 ,也 推 高 了 
这 一 罪名 的 司法 适用 概率 。 

为 此 ,2000 年 12 月 28 日 全 国人 大 常委 会 会 议 通过 的 (关于 维护 互联 网 安全 的 决定 》， 
对 网 络 作为 “犯罪 工具 ”的 整体 犯罪 态势 和 趋势 进行 专门 的 整体 解释 。 整 部 决定 共 含 七 条 ， 
实际 上 就 是 对 网 络 作 为 “犯罪 工具 ”时 的 传统 犯罪 定性 问题 。 

随 着 网 络 犯罪 形态 的 不 断 更 新 ,刑法 吸 须 更 新 ,需要 不 断 完善 相关 规定 ,才能 保持 对 网 
络 犯罪 的 高 压 态 势 ,因此 2015 年 8 月 29 日 ,全 国人 大 通过 (中 华人 民 共 和 国 刑法 修正 案 
( 九 )》, 其 中 的 重要 部 分 是 对 网 络 犯罪 的 刑法 规定 作出 完善 性 修改 。 对 于 以 计算 机 网 络 为 工 
具 的 犯罪 活动 的 规定 主要 有 以 下 方面 ?: 

(1) 修改 侮辱 罪 . 诽 谤 罪 的 告诉 才 处 理 规定 。 规 定 通过 信息 网 络 实施 侮辱 、 诽 谤 行为 ， 
被 害 人 向 人 民法 院 告诉 ,但 提供 证 据 确 有 困难 的 ,人 民法 院 可 以 要 求 公 安 机 关 提 供 协助 。 

(2) 针对 网 络 犯罪 预备 行为 独立 入 罪 ,根据 网 络 犯罪 * 打 早 打 小 ”的 策略 要 求 ,有 针对 性 
地 对 尚 处 于 预备 阶段 的 网 络 犯罪 行为 独立 入 刑 处 罚 , 规 定 利 用 信息 网 络 实施 以 下 行为 之 一 ， 
情节 严重 的 ,构成 犯罪 ; 

@ 设立 用 于 实施 诈骗 、 传 授 犯 罪 方 法 .制作 或 者 销售 违禁 物品 .管制 物品 等 违法 犯罪 活 
动 的 网 站 、 通 讯 群 组 的 ; 

@ 发 布 有 关 制 作 或 者 销售 毒品 .枪支 ,淫秽 物品 等 违禁 物品 .管制 物品 或 者 其 他 违法 犯 
罪 信息 的 ; 

加 为 实施 诈骗 等 违法 犯罪 活动 发 布 信息 的 。 

(3) 针对 网 络 犯罪 帮助 行为 独立 人 罪 。 打 击 网 络 犯罪 的 关键 是 斩 断 利益 链 , 针 对 帮助 
网 络 犯罪 多 发 的 情况 ,将 明知 他 人 利用 信息 网 络 实施 犯罪 ,为 其 犯罪 提供 互联 网 接 人 、 服 务 
器 托管 .网 络 存储 、 通 信 传 输 等 技术 支持 ,或 者 提供 广告 推广 ,支付 结算 等 帮助 ,情节 严重 的 
规定 为 犯罪 。 

(4) 修改 扰乱 无 线 电 通 信 管理 罪 。 针 对 开设 “ 伪 基 站 ”等 设备 严重 扰乱 无 线 电 秩序 \ 侵 
犯 公 民权 益 的 情况 .取消 “经 责令 停止 使 用 拒 不 停止 使 用 的 "要件, 增加 可 操作 性 。 同 时 ,由 
结果 犯 调整 为 情节 犯 ,将 “干扰 无 线 电 通 讯 正 常 进行 ,造成 严重 后 果 ” 的 人 罪 要 件 修改 为 “ 干 
扰 无 线 电 通讯 秩序 ,情节 严重 ”, 并 针对 “情节 特别 严重 的 ”情形 增加 规定 “处 三 年 以 上 七 年 以 
下 有 期 徒刑 ,并 处 罚金 ”。 

(5) 增加 编造 .故意 传播 虚假 信息 罪 。 将 编造 虚假 的 险情 、 疫 情 、 灾 情 、 警 情 , 在 信息 网 
络 或 者 其 他 媒体 上 传播 ,或 者 明知 是 上 述 虚 假 信息 ,故意 在 信息 网 络 或 者 其 他 媒体 上 传播 ， 
严重 扰乱 社会 秩序 的 行为 规定 为 犯罪 。 


t 


中 ” 喻 海松 . 刑法 的 扩张 (刑法 修正 案 ( 九 )) 及 新 近 刑 法 立法 解释 司法 适用 解读 . 北京 人 民法 院 出 版 社 ,2015 
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3.3.2 计算 机 网 络 作 为 工具 的 犯罪 立法 要 点 


对 于 以 计算 机 网 络 为 工具 的 犯罪 活动 ,要 重点 把 握 以 下 几 个 立法 方面 ,才能 准确 把 握 打 
击 力度 ,做 到 有 效 打击 。 

2015 年 ,《 刑 法 修正 案 ( 九 )) 出 台 , 将 部 分 对 传统 犯罪 行为 的 规范 进行 了 扩张 解释 ,以 法 
条 的 形式 呈现 出 来 ,以 避免 司法 实践 中 对 相关 行为 认定 时 出 现 的 混乱 。 而 这 些 行 为 也 恰恰 
是 近 几 年 多 发 的 犯罪 行为 ,并 且 常 常会 因 适用 法 律 不 明 而 在 司法 实践 中 带 来 困惑 。 

根据 (刑法 修正 案 ( 九 )》 的 规定 ,在 (刑法 ) 第 二 百 八 十 七 条 之 后 增加 两 条 ,作为 第 二 百 八 
十 七 条 之 一 和 第 二 百 八 十 七 条 之 二 ; 在 第 二 百 八 十 九条 之 一 中 增加 一 款 作为 第 二 款 。 

其 中 第 二 百 八 十 七 条 之 一 规定 : 利用 信息 网 络 实施 下 列 行 为 之 一 ,情节 严重 的 ,处 三 年 
以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : 一) 设立 用 于 实施 诈骗 ,传授 犯罪 方法 、 制 作 
或 者 销售 违禁 物品 .管制 物品 等 违法 犯罪 活动 的 网 站 ,通讯 群 组 的 ; (二 ) 发 布 有 关 制 作 或 者 
销售 毒品 ` 枪 支 . 淫 秽 物 品 等 违禁 物品 .管制 物品 或 者 其 他 违法 犯罪 信息 的 ; (三 ) 为 实施 诈 
骗 等 违法 犯罪 活动 发 布 信息 的 。 单 位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 
人 员 和 其 他 直接 责任 人 员 ,依照 第 一 款 的 规定 处 罚 。 有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ， 
依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 规定 : 明知 他 人 利用 信息 网 络 实施 犯罪 ,为 其 犯罪 提供 互联 网 接 
入 、 服 务 器 托管 ,网络 存 储 、 通 讯 传 输 等 技术 支持 ,或 者 提供 广告 推广 ,支付 结算 等 帮助 ,情节 
严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 单 位 犯 前 款 罪 的 ,对 单位 判处 
罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依照 第 一 款 的 规定 处 罚 。 有 前 两 款 
行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 九条 之 一 第 二 款 : 编造 虚假 的 险情 疫情 .灾情 、 警 情 , 在 信息 网 络 或 者 其 他 
媒体 上 传播 ,或 者 明知 是 上 述 虚 假 信息 ,故意 在 信息 网 络 或 者 其 他 媒体 上 传播 ,严重 扰乱 社 
会 秩序 的 ,处 三 年 以 下 有 期 徒刑 .拘役 或 者 管制 ; 造成 严重 后 果 的 ,处 三 年 以 上 七 年 以 下 有 
期 徒刑 。 

这 些 行 为 所 侵犯 的 利益 及 其 行为 的 本 质 , 已 经 是 其 他 传统 犯罪 所 涵盖 的 情形 之 内 。 但 
是 由 于 在 网 络 空间 中 ,这 些 行为 的 方式 模式 和 对 其 社会 危害 性 的 评价 标准 都 发 生 了 网 络 异 
化 。 因 此 ,上 述 法 条 实际 上 是 对 传统 犯罪 行为 规范 的 扩张 解释 。 要 正确 理解 这 些 法 条 ,还 是 
需要 在 新 的 时 代 背 景 下 对 传统 犯罪 行为 进行 重新 思考 和 合理 解释 。 

实际 上 ,在 (刑法 修正 案 ( 九 )) 之 前 ,一 系列 司法 解释 和 规范 性 文件 就 是 在 针对 相关 传统 
犯罪 在 向 网 络 空 间 迁 移 的 过 程 中 出 现 的 新 间 题 ,对 相关 法 条 及 其 中 的 关键 词 进行 解释 。 下 
面 ,本 节 将 对 几 个 具体 的 法 律 文件 的 出 台 背 景 和 主要 意图 进行 简要 介绍 。 


3.3.3 《关于 办 理 网 络 赌 博 犯 罪案 件 适用 法 律 若 干 问题 的 意见 》 
针对 网 络 赔 博 犯罪 高 发 的 问题 ,为 加 大 打击 力度 ,最 高 人 民法 院 、 最 高 人 民 检 察 院 于 
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2005 年 出 台 了 《关于 办 理 赌博 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 》, 在 2010 年 整治 网 
络 赌博 专项 行动 期 间 , 最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 联合 出 台 了 《关于 办 理 网 络 财 
博 犯 罪案 件 适用 法 律 若干 问题 的 意见 》。 

《关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 兴 本 节 以 下 简称 4 意见》) 主要 解 
决 了 下 述 问题 

一 是 进一步 明确 “开设 赌场 ”行为 的 范围 。 针 对 很 多 机 构 设 立 赌博 网 站 但 自身 并 不 接受 
投注 ,而 是 通过 出 租 平台 获 利 ,以 及 有 的 人 员 通 过 向 赌博 网 站 投资 ,但 不 直接 参与 经 营 的 情 
况 ,将 "建立 赌博 网 站 并 提供 给 他 人 组 织 赌博 "和 ”参与 赌博 网 站 利润 分 成 ”的 行为 也 认定 为 
“开设 赌场 行为 ”。 

二 是 明确 了 开设 赌场 罪 “ 情 节 严重 的 情形 。 在 《意见 》 中 参照 2005 年 出 台 的 司法 解释 
中 的 定罪 量刑 标准 ,将 抽 头 渔 利 数额 .赌资 数额 、 参 财 人 数 数量 达到 “聚众 赌博 " 罪 有 关 标 准 
5 倍 以 上 的 认定 为 “情节 严重 *。 此 外 ,还 新 增 了 “违法 所 得 ”等 5 款 认定 标准 。 

三 是 明确 了 打击 网 络 赌博 相关 利益 链条 适用 法 律 的 依据 。 对 明知 是 赌博 网 站 ,而 为 其 
提供 服务 器 托管 ,投放 广告 ,资金 结算 等 帮助 的 行为 明确 了 定罪 量刑 标准 ,同时 明确 了 4 种 
应 当 认 定 为 明知 的 情形 ,例如 有 的 第 三 方 支付 平台 为 了 吸纳 赌博 业务 ,给 赌博 网 站 流转 资金 
收取 费 率 下 调 ,这 种 收取 服务 费 明 显 异常 的 行为 应 当 认 定 为 明知 ,再 如 有 的 门户 网 站 、 搜 索 
引擎 投放 赌博 网 站 网 址 、 赔 率 等 广告 ,在 公安 机 关 书 面 告知 后 没有 采取 有 效 措施 , 仍 继续 实 
施 上 述 行为 的 ,应 当 认 定 为 明知 。 

四 是 明确 了 参 赌 人 数 、 赌 资 数 额 和 网 站 代理 的 认定 依据 。 也 即 网 站 显示 的 账户 数 和 银 
行 汇 款 账户 数 可 以 直接 认定 为 参 财 人 数 ,无 须 逐 一 查实 参 赌 人 员 ; 对 于 用 于 收取 、 流 转 赌资 
的 账户 中 的 资金 ,如 果 嫌 疑 人 不 能 说 明 资金 合法 来 源 的 ,应 当 认 定 为 赌资 ,也 即将 举证 责任 
倒置 ,由 嫌疑 人 负责 举证 资金 的 合法 性 。 

五 是 解决 了 网 络 赌博 犯罪 案件 的 管辖 问题 。 其 基本 原则 是 网 络 赌博 所 涉及 所 有 要 素 所 
在 地 都 具有 管辖 权 , 且 对 于 已 提请 审查 逮捕 \ 移 送 起 诉 或 者 进入 审判 程序 的 案件 ,对 于 存在 
管辖 异议 的 ,原则 上 不 再 移送 其 他 地 方 ,而 由 检 、 法 部 门 向 上 级 申请 指定 管辖 。 在 适用 这 一 
条 中 要 特别 注意 这 并 不 意味 着 侦查 机 关 可 以 任意 到 异地 办 理 网 络 赌博 案件 ,例如 本 地 有 参 
赌 人 员 , 可 以 到 异地 追查 其 直接 代理 代理 的 直接 上 级 股东 等 (也 即 可 以 顺 线 上 追查 ,因为 自 
上 往 下 的 一 个 组 织 链条 与 本 地 的 参 赌 人 员 的 赌博 活动 有 关系 ), 但 如 果 扩 线 又 发 现 其 他 代 
理 , 但 这 些 代理 组 织 的 网 络 赌博 并 不 涉及 本 地 的 , 则 应 当 移交 异地 侦查 机 关 处 理 。 


3.3.4 《关于 办 理 利用 互联 网 移动 通讯 终端 、 声讯 台 制 作 、 复制 、 出 
版 ,贩卖 .传播 泾 移 电 子 信息 刑事 案件 具体 应 用 法 律 阁 干 问 
题 的 解释 》 


针对 网 络 淫秽 色情 犯罪 高 发 的 问题 ,为 加 大 打击 力度 ,最 高 检 、 最 高 法 于 2004 年 和 
2010 年 出 台 了 《关于 办 理 利用 互联 网 移动 通讯 终端 声讯 台 制作 、 复 制 、 出 版 ,贩卖 ,传播 淫 
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网 络 犯罪 侦查 


秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ) 和 《关于 办 理 利用 互联 网 移动 通讯 终 
端 , 声 讯 台 制作 、 复 制 、 出 版 ,贩卖 ,传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解 
释 ( 二 )》 两 个 司法 解释 。 

1. 司法 解释 一 解决 了 传播 淫秽 物品 适用 法 律 的 主要 问题 

一 是 从 传播 淫秽 物品 的 数量 、 点 击 数 量 、 注 册 会 员 数 量 、 违 法 所 得 数额 等 方面 确定 了 定 
罪 量刑 标准 ， 

二 是 对 于 明知 是 淫秽 信息 而 在 自己 管理 的 网 站 上 提供 直接 链接 的 行为 按照 传播 淫秽 信 
息 的 行为 定罪 处 罚 ; 

三 是 对 传播 儿童 色情 信息 、 向 未 成 年 人 传播 淫秽 物品 .通过 恶意 代码 强制 用 户 访问 淫秽 
信息 等 行为 作为 从 重 处 罚 的 情节 ， 

四 是 对 明知 他 人 传播 淫秽 物品 而 为 其 提供 帮助 的 行为 ,明确 以 共同 犯罪 论处 。 

2. 司法 解释 二 解决 的 主要 问题 

一 是 针对 设立 主要 用 于 传播 淫秽 电子 信息 的 群 组 ,明确 成 员 达 到 30 人 以 上 的 , 即 以 传 
播 淫秽 物品 罪 定罪 处 罚 ; 

二 是 对 于 明知 是 淫秽 电子 信息 而 放任 他 人 在 自己 网 站 上 发 布 淫秽 信息 的 行为 ,明确 按 
照 传 播 淫 秽 物 品 罪 定罪 处 罚 ,比如 某 个 网 站 或 者 搜索 引擎 上 频繁 出 现 淫秽 信息 ,在 公安 机 关 
书面 告知 后 仍 没有 采取 有 效 措施 导致 淫秽 信息 仍然 在 其 网 站 或 者 搜索 引擎 上 蔓延 , 则 应 当 
依法 定罪 处 罚 ; 

三 是 明确 传播 淫秽 儿童 色情 信息 行为 从 重 处 罚 的 定罪 量刑 标准 ,将 传播 儿童 色情 信息 
的 定罪 数量 降 为 一 般 淫秽 信息 的 一 半 ; 

四 是 对 网 络 淫秽 色情 活动 提供 帮助 的 利益 链条 确定 独立 的 定罪 量刑 标准 : 一 方面 是 对 
从 淫秽 色情 活动 获 利 的 利益 链条 明确 定罪 量刑 标准 ,也 即 对 于 明知 是 淫秽 网 站 , 仍 为 其 提供 
互联 网 接 人 、 网 络 存储 空间 、 代 收费 等 帮助 并 收取 费用 ,按照 传播 淫秽 物品 件 利 罪 定罪 处 罚 ; 
另 一 方面 是 对 为 淫秽 色情 活动 提供 资金 的 利益 链条 确定 定罪 量刑 标准 ,以 打击 网 络 淫秽 色 
情 活 动 的 经 济 来 源 ,对 于 明知 是 淫秽 网 站 而 通过 向 其 投放 广告 等 方式 向 其 直接 或 者 间接 提 
供 资金 ,或 者 提供 费用 结算 服务 的 行为 按照 传播 淫秽 物品 件 利 罪 的 共同 犯罪 处 罚 ; 

五 是 明确 了 认定 为 “明知 ”的 几 种 情形 ,包括 在 行政 主管 机 关 书 面 告 知 后 仍然 实施 ”上述 
行为 “ 接 到 举报 后 不 履行 法 定 管理 职责 的 "等 五 种 情形 。 


3.3.5 《关于 办 理 利 用 信息 网 络 实施 诽谤 等 刑事 案件 适用 法 律 若 干 
问题 的 解释 》 


最 高 人 民法 院 、 最 高 人 民 检 察 院 于 2013 年 9 月 10 日 发 布 (最 高 人 民法 院 、 最 高 人 民 检 
察 院 关 于 办 理 利用 信息 网 络 实施 诽谤 等 刑事 案件 适用 法 律 若干 问题 的 解释 ), 该 解释 共有 十 
条 ,主要 规定 了 八 个 方面 的 内 容 。 

(1) 明确 了 利用 信息 网 络 实施 诽谤 犯罪 的 行为 方式 , 即 “ 捍 造 事 实 诽谤 他 人 ”的 认定 
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问题 ; 
(2) 明确 了 利用 信息 网 络 实施 诽谤 行为 的 入 罪 标 准 , 即 “情节 严重 ”的 认定 问题 ; 
(3) 明确 了 利用 信息 网 络 实施 诽谤 犯罪 适用 公诉 程序 的 条 件 , 即 "严重 危害 社会 秩序 和 
家 利益 ”的 认定 问题 , 共 列 举 了 七 种 情形 : 

@ 引发 群体 性 事件 的 ; 

@ 引发 公共 秩序 混乱 的 ; 

@ 引发 民族 ,宗教 冲突 的 ; 

@ 诽谤 多 人 ,造成 恶劣 社会 影响 的 ; 

@ 损害 国家 形象 ,严重 危害 国家 利益 的 ; 

Q@ 造成 恶劣 国际 影响 的 ; 

@ 其 他 严重 危害 社会 秩序 和 国家 利益 的 ; 

(4) 明确 了 利用 信息 网 络 实施 寻 峡 滋事 犯罪 的 认定 问题 ; 

(5) 明确 了 利用 信息 网 络 实施 敲诈 勒索 犯罪 的 认定 问题 ; 

(6) 明确 了 利用 信息 网 络 实施 非法 经 营 犯罪 的 认定 及 处 罚 问题 ; 

(7) 明确 了 利用 信息 网 络 实施 诽谤 、 寻 峡 滋 事 .敲诈 勒索 ,非法 经 营 等 犯罪 的 共同 犯罪 
内 容 ; 

(8) 明确 了 利用 信息 网 络 实施 诽谤 、 寻 论 滋 事 、 敲 诈 勒 索 、 非 法 经 营 犯罪 与 其 他 犯罪 的 

数 罪 问 题 及 其 处 罚 原则 。 


3.4 网 络 犯罪 的 刑事 程序 法 律 规制 


2012 年 3 月 14 日 ,第 十 一 届 全 国人 民 代表 大 会 第 五 次 会 议 通过 (关于 修改 (中 华人 民 
共和 国 刑 事 诉讼 法 ) 的 决定 》, 并 于 2013 年 1 月 1 日 起 施行 ,完成 了 对 《刑事 诉讼 法 ) 的 第 二 
次 修改 。 

新 修改 的 (刑事 诉讼 法 》 进 一 步 完 善 了 涉及 网 络 犯罪 刑事 诉讼 程序 的 相关 规定 ,特别 是 
将 电子 数据 增设 为 新 的 证 据 种 类 。 此 外 ,有 关 司 法 解释 、 规 范 性 文件 也 进一步 明确 了 网 络 犯 
罪 的 法 律 适用 问题 ,如 《网 络 赌博 犯罪 意见 ?对 网 络 赌博 犯罪 案件 的 管辖 ,电子 证 据 的 收集 与 
保全 等 问题 作 了 专门 规定 。 

但 是 总 体 而 言 ,由 于 网 络 犯罪 与 传统 犯罪 有 着 很 大 的 差异 ,特别 是 网 络 犯罪 的 跨 地 域 
性 ,技术性 ,分 工 合 作 等 特点 ,传统 办 案 程 序 相关 规定 直接 适用 于 网 络 犯罪 案件 尚 存在 很 多 
不 适应 的 地 方 ,为 配合 修改 后 的 (刑事 诉讼 法 ) 顺 利 实施 ,进一步 明确 网 络 违法 犯罪 案件 的 办 
案 程 序 , 最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 于 2014 年 5 月 6 日 印发 了 《关于 办 理 网 络 
犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 》( 公 通 字 L2014]10 号 ,以 下 简称 (网 络 犯 罪刑 
事 诉讼 程序 意见 )) ,解决 了 近年 来 公安 机 关 、 人 民 检 察 院 、 人 民法 院 在 办 理 网 络 犯 罪案 件 程 
序 上 遇 到 的 新 情况 .新 闻 题 ,为 依法 惩治 网 络 犯罪 活动 提供 有 力 的 保障 。 


于 
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《网 络 犯罪 刑事 诉讼 程序 意见 》 主 要 解决 了 以 下 几 个 问题 。 

1. 明确 案件 管辖 

计算 机 网 络 具 有 路 地 域 特性 ,相应 的 网 络 犯罪 也 存在 路 地 域 特性 ,与 犯罪 相关 的 人 员 
(被 害 人 、 嫌 疑 人 ) 以 及 相关 的 资源 (银行 账户 .虚拟 身份 .网 站 ) 等 基本 要 素 分 布 在 不 同 的 地 
方 。 如 在 网 络 赌博 、 传 销 等 案件 中 ,嫌疑 人 通过 层 层 发 展 下 线形 成 金字 塔 型 的 组 织 结构 , 涉 
及 全 国 多 地 ,上 且 人 数 众多 。 此 类 案件 中 ,由 于 法 律 缺乏 明确 规定 ,导致 有 关机 关 常 因 管 辖 权 
问题 产生 争议 。《 网 络 犯罪 刑事 诉讼 程序 意见 》 明 确 了 网 络 犯罪 案件 的 管辖 原则 ,包括 争议 
处 理 原则 ,并 案 处 理 原则 , 涉 众 型 网 络 犯罪 案件 的 并 案 管 辖 原则 , 跨 地 重大 网 络 犯罪 案件 的 
异地 指定 管辖 原则 ,网 络 犯罪 案件 的 合并 处 理 原则 ,已 受理 的 网 络 犯罪 案件 发 现 没 有 管辖 权 
的 处 理 原则 以 及 网 络 共同 犯罪 的 先行 追诉 及 后 到 案犯 罪 嫌疑 人 、 被 告 人 的 管辖 原则 。 特 别 
是 针对 网 络 犯罪 案件 与 传统 案件 的 区 别 ,规定 了 网 络 犯罪 案件 涉及 多 个 犯罪 地 或 者 多 个 犯 
罪 环 节 的 管辖 如 何 确定 ,规定 了 可 以 并 案 侦查 的 情形 以 及 犯罪 利益 链 顶 端的 犯罪 分 子 由 谁 
打击 等 问题 ,同时 也 规定 了 具备 侦查 管辖 公安 机 关 同 级 检察 院 、 法 院 的 管辖 问题 ,为 减少 办 
案 过 程 中 推 请 扯皮 扫 清 了 障碍 。 

2. 立案 前 可 采取 初 查 

刑事 诉讼 法 对 刑事 立案 前 公安 机 关 可 以 采取 的 调查 措施 未 作 明 确 规定 。 然 而 ,大 量 的 
网 上 违法 犯罪 线索 如 不 经 过 调查 则 很 难 确定 是 否 达到 立案 标准 ,如 网 上 发 布 信息 声称 销售 
枪支 .毒品 ,如 未 进行 调查 则 无 法 确定 是 否 存 在 销售 枪支 的 事实 ,难以 立案 。 这 一 问题 致使 
大 量 网 上 违法 犯罪 线索 难以 进入 侦查 程序 ,使 得 很 多 违法 犯罪 嫌疑 人 肆 无 足 悼 地 发 布 销售 
违禁 品 的 信息 。 当 前 ,互联 网 上 销售 枪支 .毒品 个 人 信息 、 窃 听 器 材 . 人 体 器 官 等 违禁 品 的 
网 站 和 信息 泛滥 ,但 公安 机 关 难 以 对 犯罪 嫌疑 人 开展 打击 ,致使 这 些 违法 信息 在 互联 网 上 大 
肆 草 延 , 屡 删 屡 发 ,人 民 和 群众 反应 非常 强烈 。 因 此 《网络 犯罪 刑事 诉讼 程序 意见 》 对 网 络 犯罪 
案件 立案 前 的 调查 措施 作出 规范 , 检 法 部 门 认可 公安 机 关 在 初 查 阶 段 收 集 的 证 据 《 网 络 犯 
罪刑 事 诉讼 程序 意见 》 明 确 , 对 接受 的 案件 或 者 发 现 的 犯罪 线索 ,在 审查 中 发 现 案 件 事 实 或 
者 线索 不 明 , 需 要 经 过 调查 才能 够 确认 是 否 达到 犯罪 追诉 标准 的 ,经 办 案 部 门 负责 人 批准 ， 
可 以 进行 初 查 , 同 时 在 (网络 犯罪 刑事 诉讼 程序 意见 》 中 明确 了 初 查 的 内 容 以 及 程序 规定 。 

3. 跨 地 域 取证 困难 

网 络 犯罪 相关 网 络 数据 .银行 账户 等 要 素 分 布 在 不 同 地 方 , 动 辑 涉 及 全 国 各 地 ,根据 传 
统 取证 程序 ,通常 需要 办 案 地 派 民 警 携带 法 律 文书 到 证 据 所 在 地 开展 证 据 调 取 工 作 , 工 作 量 
巨大 ,难以 有 效 调 取 相关 证 据 。 特 别 是 ,行为 人 通常 借助 计算 机 网 络 对 不 特定 人 实施 侵害 或 
者 组 织 不 特定 人 实施 犯罪 ,被 害 人 和 涉案 人 员 众 多 ,公安 机 关 难 以 逐一 取证 认定 被 害 人 数 、 
被 侵害 计算 机 信息 系统 数 、 违 法 所 得 等 犯罪 事实 。 例 如 ,2011 年 某 地 公安 机 关 侦 办 一 起 网 
络 诈骗 案件 ,被 骗 万 余人 分 布 在 全 国 各 地 ,每 位 被 害 人 被 骗 金 额 100 一 2000 元 不 等 ,无 法 对 
所 有 被 害 人 逐一 取证 认定 被 害 人 数 以 及 诈骗 数额 。 这 一 问题 严重 制约 对 网 络 诈 骗 等 网 络 侵 
财 犯罪 的 打击 。 目 前 ,网 络 诈骗 每 年 发 案 数量 达 数 十 万 起 , 占 网 络 犯 罪 发 案 数量 的 80% 以 
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上 ,人 民 和 群众 反映 十 分 强烈 《网络 犯罪 刑事 诉讼 程序 意见 》 根 据 实践 中 的 具体 情况 ,专门 对 
跨 地 域 取证 的 有 关 问 题 作 了 规定 ,创新 了 办 理 网 络 犯罪 案件 中 跨 地 域 取 证 的 方式 , 即 可 以 通 
过 信息 化 系统 传输 相关 法 律 文书 或 者 通过 远程 网 络 视频 等 方式 询 ( 讯 ) 问 。 


3.5 网 络 犯罪 的 电子 数据 证 据 法 律 规制 


1996 年 刑事 诉讼 法 第 四 十 二 条 规定 了 * 书 证 、 物 证 ”等 七 类 证 据 , 并 未 将 电子 数据 列 为 
证 据 的 种 类 ,这 导致 司法 实践 中 对 电子 数据 的 运用 处 于 两 难 境地 : 一 方面 ,可 以 用 于 证 明 案 
件 事 实 的 材料 都 是 证 据 ,尽管 网 络 犯 罪案 件 中 也 涉及 书证 、 物 证 等 传统 证 据 , 但 是 更 多 的 是 
电子 数据 ,与 案件 相关 的 电子 数据 自然 属于 证 据 的 范畴 ; 另 一 方面 ,作为 大 陆 法 系 ,1996 年 
刑事 诉讼 法 又 将 证 据 限 定 为 七 种 ,并 未 涉及 电子 数据 ,电子 数据 应 当 作为 何 种 类 的 证 据 于 法 
无 据 。 这 就 使 得 电子 数据 的 地 位 极为 尴 众 ,与 网 络 犯罪 打击 的 迫切 需要 形成 巨大 矛盾 。 

面 对 这 一 局 面 ,刑事 司法 实践 部 门 采取 了 两 类 举措 。 一 类 举措 是 在 规范 性 文件 中 直接 
将 电子 数据 作为 一 类 证 据 形式 。 例 如 ,《 关 于 办 理 死刑 案件 审查 判断 证 据 若 干 问 题 的 规定 》 
在 “证 据 的 分 类 审查 与 认定 ”部 分 直接 规定 了 对 电子 邮件 .电子 数据 交换 .网 上 聊天 记录 、 网 
络 博客 .手机 短信 、 电 子 签名 ,域名 等 电子 证 据 的 审查 内 容 。 另 一 类 举措 则 是 将 电子 数据 转 
化 为 法 定 证 据 种 类 再 予以 使 用 ,而 且 不 少 都 是 转化 为 勘 验 、 检 查 笔录 予以 使 用 。 例 如 《网 络 
赌博 犯罪 意见 》 在 “关于 电子 证 据 的 收集 与 保全 ”部 分 规定 :“ 侦 查 机 关 对 于 能 够 证 明 赌博 犯 
罪案 件 真 实情 况 的 网 站 页 面 、 上 网 记录 .电子 邮 件 . 电 子 合同 .电子 交易 记录 电子 账册 等 电 
子 数据 ,应 当 作为 刑事 证 据 了 予以 提取 、 复 制 . 固 定 。 侦 查 人 员 应 当 对 提取 、 复 制 .固定 电子 数 
据 的 过 程 制作 相关 文字 说 明 , 记 录 案 由 、 对 象 .内 容 以 及 提取 、 复 制 . 固 定 的 时 间 、 地 点 ,方法 ， 
电子 数据 的 规格 类别、 文件 格式 等 ,并 由 提取 、 复 制 、 固 定 电子 数据 的 制作 人 、 电 子 数据 的 持 
有 人 签名 或 者 盖 章 , 附 所 提取 、 复 制 . 固 定 的 电子 数据 一 并 随 案 移送 。" 从 这 一 规定 可 以 看 出 ， 
该 规范 性 文件 实际 上 是 要 求 对 电子 数据 按照 勘 验 、 检 查 笔录 这 一 法 定 证 据 种 类 进行 提取 和 
转换 的 。 以 上 两 类 举措 都 是 司法 实务 部 门 男 于 电子 证 据 未 作为 法 定 证 据 种 类 ,不 得 已 而 为 
之 的 举措 。 

2012 年 修改 的 (刑事 诉讼 法 ) 将 电子 数据 纳入 法 定 的 证 据 种 类 ,首次 赋予 电子 数据 证 据 
独立 的 法 律 地 位 。 这 一 修改 ,使 (刑事 诉讼 法 》 适 应 网 络 时 代 的 发 展 ,根据 刑事 诉讼 中 出 现 的 
新 情况 和 实践 需要 ,将 电子 数据 增设 为 法 定 证 据 种 类 ,进一步 丰富 了 证 据 的 外 延 ,有 利于 规 
范 司法 实务 部 门 对 于 电子 数据 的 提取 和 运用 ,能 够 更 好 地 证 明 案 件 事实 。 

《刑事 诉讼 法 ) 第 四 十 八条 规定 : 

可 以 用 于 证 明 案件 事实 的 材料 ,都 是 证 据 。 
证 据 包 括 : 
(一 ) 物证 ; 
(3 书证 5 
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(三 ) 证 人 证 言 ; 

(四 ) 被 害 人 陈述 ; 

(五 ) 犯罪 嫌疑 人 、 被 告 人 供述 和 辩解 

(六 ) 鉴定 意见 ; 

(七 ) 勘 验 、 检 查 、 辨 认 、 侦 查实 验 等 笔录 ; 

( 八 ) 视听 资料 .电子 数据 。 

证 据 必 须 经 过 查证 属实 ,才能 作为 定案 的 根据 。 

随后 (民事 诉讼 法 欠 行 政 诉讼 法 ) 均 将 “电子 数据 ”作为 证 据 类 型 予以 确定 。 因 此 电子 数 
据 是 一 类 独立 的 证 据 种 类 。 


3.5.1 电子 数据 的 取证 程序 规则 


虽然 刑事 诉讼 法 已 明确 将 电子 数据 作为 新 的 法 定 证 据 类 型 ,但 对 于 电子 数据 的 提取 、 固 
定 、 出 示 、 辨 认 、 质 证 等 活动 缺乏 明确 的 规定 ,主要 存在 四 个 方面 的 突出 问题 。 一 是 由 于 电子 
数据 具有 易 算 改 性 ,缺乏 明确 的 电子 数据 取证 程序 规范 ,将 导致 电子 数据 的 完整 性 、 真 实 性 
受到 质疑 ,进而 影响 电子 数据 的 证 明 力 。 二 是 很 多 电子 数据 无 法 通过 扣押 原始 存储 介质 的 
方式 进行 取证 ,也 无 法 通过 重复 取证 过 程 展现 电子 数据 的 原始 性 。 例 如 ,境外 主机 上 存储 的 
信息 无 法 通过 扣押 计算 机 机 器 存储 介质 的 方式 进行 取证 ,计算 机 内 存 中 存储 的 数据 一 旦 主 
机 关机 即 会 丢失 ,对 于 此 类 电子 数据 的 取证 程序 和 要 求 应 当 进一步 予以 明确 ,否则 会 影响 电 
子 数据 的 证 明 力 。 三 是 不 少 电子 数据 是 传统 书证 、 音 视频 证 据 的 电子 化 形式 ,对 于 此 类 可 以 
直接 展示 的 电子 数据 应 当 以 何 种 形式 展示 、 使 用 缺乏 明确 的 规定 。 四 是 很 多 电子 数据 无 法 
直接 展示 ,如 计算 机 病毒 程序 、 网 站 代码 、 网 络 攻击 日 志 等 电子 数据 无 法 通过 直接 展示 的 方 
式 说 明 其 所 证 明 的 事实 ,对 于 此 种 电子 数据 应 当 如 何 使 用 , 须 作 进一步 明确 规定 。 

《网 络 犯罪 刑事 诉讼 程序 意见 ) 明 确 了 电子 数据 取证 的 基本 原则 与 程序 ,规定 了 电子 数 
据 的 提取 方式 .笔录 内 容 、 电 子 数据 展示 方式 以 及 取证 人 员 、 机 构 应 具备 的 资质 、 条 件 等 内 
容 。《 网 络 犯罪 刑事 诉讼 程序 意见 ) 是 电子 数据 成 为 合法 证 据 类 型 以 来 首 个 明确 电子 数据 取 
证 程序 的 规范 性 文件 。 
例如 对 于 电子 数据 取证 人 员 和 设备 的 要 求 。《 网 络 犯 罪刑 事 诉讼 程序 意见 ) 第 十 三 条 规 
定 :“ 收 集 , 提 取 电 子 数据 ,应 当 由 二 名 以 上 具备 相关 专业 知识 的 侦查 人 员 进 行 。 取 证 设备 
和 过 程 应 当 符合 相关 技术 标准 ,并 保证 所 收集 、 提 取 的 电子 数据 的 完整 性 、 客 观 性 。” 
对 于 电子 数据 原始 性 也 有 具体 要 求 , 第 十 四 条 规定 :“ 收 集 、 提 取 电 子 数据 ,能 够 获取 原 
始 存储 介质 的 ,应 当 封 存 原始 存储 介质 ,并 制作 笔录 ,记录 原始 存储 介质 的 封存 状态 ,由 侦查 
人 员 、 原 始 存 储 介质 持 有 人 签名 或 者 盖 章 ; 持 有 人 无 法 签名 或 者 拒绝 签名 的 ,应 当 在 笔录 中 
注 明 ,由 见证 人 签名 或 者 盖 章 。 有 条 件 的 ,侦查 人 员 应 当 对 相关 活动 进行 录像 。 

对 于 电子 数据 的 检验 鉴定 ,第 十 八条 规定 :“ 对 电子 数据 涉及 的 专门 性 问题 难以 确定 
的 ,由 司法 鉴定 机 构 出 具 鉴 定 意见 ,或 者 由 公安 部 指定 的 机 构 出 具 检验 报告 。” 
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3.5.2 电子 数据 的 证 据 审查 规则 


与 传统 证 据 的 实物 性 或 者 言词 性 不 同 ,电子 数据 具有 虚拟 性 的 特点 ,因此 ,对 电子 数据 
的 收集 是 一 个 需要 特别 注意 和 把 握 的 问题 ,要 注意 合 技术 性 和 合法 律 性 两 个 方面 的 要 求 。 
最 高 人 民法 院 ( 关 于 适用 二 中 华人 民 共 和 国 刑事 诉讼 法 的 解释 (法 释 L2012]21 号 ) 对 审 
查 电子 数据 的 一 般 原则 和 重点 内 容 作 出 了 规范 ,对 电子 数据 的 审查 判断 作出 了 规定 。 

《刑事 诉讼 法 解释 ) 第 九 十 三 条 规定 : 

对 电子 邮件 、 电 子 数据 交换 、 网 上 聊天 记录 ,博客 、 微 博客 、 手 机 短信 、 电 子 签名 、 域 名 等 
电子 数据 ,应 当 着 重审 查 以 下 内 容 : 

(一 ) 是 否 随 原始 存储 介质 移送 ; 在 原始 存储 介质 无 法 封存 ,不便 移动 或 者 依法 应 当 由 
有 关 部 门 保管 \ 处 理 . 返 还 时 ,提取 、 复 制 电子 数据 是 否 由 二 人 以 上 进行 ,是 否 足以 保证 电子 
数据 的 完整 性 ,有 无 提取 、 复 制 过 程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 ; 

(二 ) 收集 程序 方式 是 否 符合 法 律 及 有 关 技 术 规范 ; 经 勘 验 、 检 查 、 搜 查 等 侦查 活动 收 
集 的 电子 数据 ,是 否 附 有 笔录 、 清 单 , 并 经 侦查 人 员 、 电 子 数据 持 有 人 、 见 证 人 签名 ; 没有 持 
有 人 签名 的 ,是 否 注 明 原因 ; 远程 调 取 境外 或 者 异地 的 电子 数据 的 ,是 否 注 明 相关 情况 ; 对 
ge 类 别 、 文 件 格式 等 注 明 是 否 清楚 ; 

三 ) 电子 数据 内 容 是 否 真实 ,有 无 删除 .修改 ,增加 等 情形 ; 

电子 数据 与 案件 事实 有 无 关联 ; 

(五 ) 与 案件 事实 有 关联 的 电子 数据 是 否 全 面 收 集 。 

对 电子 数据 有 疑问 的 ,应 当 进行 鉴定 或 者 检验 。 

《刑事 诉讼 法 解释 ) 第 九 十 四 条 规定 : 

视听 资料 ,电子 数据 具有 下 列 情形 之 一 的 ,不 得 作为 定案 的 根据 ; 

(一 ) 经 审查 无 法 确定 真 伪 的 ; 

(二 ) 制作 、 取 得 的 时 间 、 地 点 、 方 式 等 有 疑问 ,不 能 提供 必要 证 明 或 者 作出 合理 解释 的 。 

具体 而 言 《 刑 事 诉讼 法 解释 ?强调 对 于 电子 数据 证 据 应 当 着 重审 查 以 下 内 容 : 

(1) 电子 数据 是 否 随 原始 存储 介质 移送 。 

在 原始 存储 介质 无 法 封存 .不便 移动 或 者 依法 应 当 由 有 关 部 门 保 管 ,处 理 ,返还 时 , 提 
取 、 复 制 电子 数据 是 否 由 二 人 以 上 进行 ,是否 足以 保证 电子 数据 的 完整 性 ,有 无 提取 、 复 制 过 
程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 。 
传统 证 据 种 类 不 同 , 电 子 数据 没有 “原始 电子 数据 ”的 概念 ,只 有 "原始 存储 介质 ”的 概 
念 。 由 于 电子 数据 的 电子 性 ,电子 数据 不 同 于 物证 、 书 证 等 其 他 证 据 种 类 ,其 可 以 完全 同 原 
始 存储 介质 分 离开 来 。 例 如 ,存储 在 计算 机 的 电子 文档 ,可 以 同 计算 机 这 一 存储 介质 分 离开 
来 ,存储 于 移动 硬盘 、U 盘 等 存储 介质 之 中 。 而 且 , 对 电子 数据 的 复制 可 以 确保 与 原 数据 的 
完全 一 致 性 ,复制 后 的 电子 数据 与 原 数据 没有 任何 差异 。 与 此 不 同 ,物证 ,书证 等 证 据 无 法 
同 原始 存储 介质 完全 区 分 开 来 ,更 无 法 采取 确保 与 原 物 、 原 件 完全 一 致 的 方式 予以 复制 。 例 
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如 ,一 封 作为 书证 使 用 的 书信 ,书信 的 原始 内 容 无 法 同 原始 载体 完全 分 离开 来 ,只 能 存在 于 
原始 的 纸张 这 一 载体 之 上 ,即使 采取 彩色 复印 等 方式 进行 复制 ,也 无 法 确保 复制 后 的 书信 同 
原件 的 完全 一 致 性 。 不 仅 物 证 ,书证 等 传统 证 据 如 此 ,视听 资料 这 一 随 着 技术 发 展 而 兴起 的 
新 型 证 据 亦 是 如 此 .中 基于 上 述 考虑 ,使 用 “原始 电子 数据 ”这 个 概念 没有 任何 意义 ,对 于 电 
子 数据 而 言 , 不 存在 "原始 电子 数据 ?的 概念 。 但 是 ,电子 数据 原始 存储 介质 这 个 概念 是 有 意 
义 的 ,这 表明 电子 数据 是 存储 在 原始 的 介质 之 中 , 即 取 证 时 是 将 存储 介质 予以 扣押 ,并 作为 
证 据 移送 ,而 非 运用 移动 存储 介质 将 该 电子 数据 从 原始 介质 中 提取 ,如 直接 从 现场 扣押 行为 
人 使 用 的 电脑 中 提取 。 因 此 ,可 以 将 电子 数据 区 分 为 电子 数据 是 随 原始 存储 介质 移送 ,还 是 
在 无 法 移送 原始 存储 介质 的 情况 下 (如 大 型 服务 器 中 的 电子 数据 ) 通 过 其 他 存储 介质 予以 收 
集 。 为 了 确保 随 原始 存储 介质 移送 的 电子 数据 的 真实 性 、 完 整 性 ,针对 此 种 情形 ,审判 人 员 
要 审查 电子 数据 随 原始 存储 介质 移送 的 ,是 否 采取 了 技术 措施 保证 原始 存储 介质 数据 的 完 
整 性 ,如 通过 加 写 保 护 设备 确保 数据 不 被 修改 。 

而 在 原始 存储 介质 无 法 封存 ,不 便 移动 或 者 依法 应 当 由 有 关 部 门 保管 .处 理 、 返 还 时 ,应 
当 审 查 提取 、 复 制 电子 数据 是 否 由 二 人 以 上 进行 ,是 否 足 以 保证 电子 数据 的 完整 性 ,有 无 提 
取 、 复 制 过 程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 。 审 判 人 员 应 当 对 上 述 情况 进行 
审查 ,以 判断 未 随 原始 存储 介质 移送 的 电子 数据 的 真实 性 和 完整 性 。 特 别 需 要 注意 的 是 电 
子 数据 完整 性 的 问题 。 为 解决 数据 的 完整 性 问题 ,侦查 机 关 可 以 通过 记录 电子 数据 完整 性 
校 验 值 等 方式 保证 电子 数据 的 完整 性 ,完整 性 校 验 值 是 对 电子 数据 计算 获得 的 一 组 数据 ,如 
果 原 始 数据 被 修改 , 则 完整 性 校 验 值 必定 发 生变 化 。 因 此 ,审判 人 员 在 审查 电子 数据 的 过 程 
中 ,应 当 审查 侦查 机 关 是 否 对 电子 数据 采取 记录 电子 数据 完整 性 校 验 值 等 方式 保证 电子 数 
据 的 完整 性 。 

(2) 收集 程序 ,方式 是 否 符合 法 律 及 有 关 技术 规范 。 

经 勘 验 ,检查 、 搜 查 等 侦查 活动 收集 的 电子 数据 ,是 否 附 有 笔录 、 清 单 ,并 经 侦查 人 员 、 电 
子 数据 持 有 人 、 见 证 人 签名 ; 没有 持 有 人 签名 的 ,是 否 注 明 原因 ; 远程 调 取 境外 或 者 异地 的 
电子 数据 的 ,是 否 注 明 相关 情况 ; 对 电子 数据 的 规格 、 类 别 、 文 件 格式 等 注 明 是 否 清楚 。 

收集 电子 数据 的 程序 、 方 法 无 疑 应 当 符 合法 律 , 同 时 ,由 于 电子 数据 具有 较 强 的 技术 性 ， 
应 当 特别 审查 收集 过 程 是 否 符合 有 关 技 术 规 范 的 要 求 ,电子 数据 的 形态 是 否 发 生 改变 。 而 
从 司法 实践 来 看 ,侦查 机 关 经 常 通过 勘 验 、 检 查 、 搜 查 等 侦查 活动 收集 犯罪 现场 的 电子 数据 。 
因此 ,对 于 通过 勘 验 检查、 搜查 等 侦查 活动 收集 的 电子 数据 的 审查 与 判断 ,有 必要 根据 该 类 
侦查 活动 的 特点 予以 规范 。 

《刑事 诉讼 法 ) 第 一 百 四 十 条 规定 :“ 对 查封 .扣押 的 财物 、 文 件 ,应 当 会 同 在 场 见 证 人 和 
被 查封 .扣押 财物 文件 持 有 人 查 点 清楚 ,当场 开 列 清单 一 式 二 份 ,由 侦查 人 员 、 见 证 人 和 持 


中 ”需要 注意 的 是 ,这 一 论断 的 前 提 是 随 着 电子 数据 成 为 独立 的 证 据 种 类 ,以 电子 数据 形式 存在 的 视听 资料 是 电子 
数据 ,不 再 属于 视听 资料 的 范畴 。 
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有 人 签名 或 者 盖 章 ,一 份 交 给 持 有 人 , 另 一 份 附 卷 备查 .” 审 查 经 侦查 人 员 电子 数据 持 有 人 、 
见证 人 签名 的 相关 笔录 或 者 清单 ,是 核实 电子 数据 真实 性 和 完整 性 的 必要 措施 。《 刑 事 诉讼 
法 ) 虽 然 将 电子 数据 规定 为 独立 的 证 据 种 类 ,但 为 了 确保 电子 数据 的 真实 性 、 完 整 性 , 须 以 笔 
录 形 式 记 录 现 场 提取 电子 数据 的 过 程 ,以 清单 形式 记录 提取 电子 数据 的 结果 。 因 此 ,在 审判 
环节 ,对 于 经 勘 验 、 检 查 、 搜 查 等 侦查 活动 收集 的 电子 数据 ,审判 人 员 应 当 审 查 是 否 附 有 笔 
录 、 清 单 , 并 经 侦查 人 员 、 电 子 数据 持 有 人 、 见 证 人 签名 ,没有 持 有 人 签名 的 ,是 否 注 明 原因 。 

需要 特别 注意 的 是 ,如 果 电 子 数据 位 于 境外 ,难以 通过 国际 司法 协助 获取 相关 数据 , 通 
常 通过 远程 调 取 的 方式 获取 数据 。 而 且 , 即 使 在 国内 ,也 可 能 在 个 别 案件 中 采取 异地 远程 调 
取 电 子 数据 的 情况 。 此 种 情况 下 ,应 当 注 明 相 关 情 况 。 审 判 人 员 应 当 根据 注 明 的 情况 予以 
审查 ,判断 电子 数据 提取 过 程 的 合法 性 ,判断 所 提取 电子 数据 的 真实 性 和 完整 性 。 

(3) 电子 数据 内 容 是 否 真实 ,有 无 删除 、 修 改 . 增 加 等 情形 。 

在 法 庭审 查 过 程 中 ,审判 人 员 应 当 通过 听取 控 辩 双 方 意见 .询问 相关 人 员 等 多 种 方式 审 
查 电子 数据 的 内 容 和 制作 过 程 的 真实 性 ,必要 时 可 以 进行 庭 外 调查 。 但 是 ,由 于 电子 数据 的 
技术 性 较 强 ,一 般 的 删除 ,修改 、 增 加 等 情形 难以 通过 审判 人 员 的 观察 作出 认定 ,需要 外 力 的 
辅助 。 因 此 ,《 刑 事 诉讼 法 解释 ) 第 九 十 三 条 第 二 款 规 定 :“ 对 电子 数据 有 疑问 的 ,应 当 进 行 
鉴定 或 者 检验 。" 这 里 的 鉴定 或 者 检验 ,主要 针对 的 是 计算 机 程序 功能 (如 计算 机 病毒 等 破坏 
性 程序 的 功能 ) 和 数据 同一 性 .相似 性 (如 侵权 案件 需要 认定 盗版 软件 与 正版 软件 的 同一 性 、 
相似 性 ) 的 问题 .了 之 所 以 这 里 没有 要 求 对 有 疑问 的 电子 数据 一 律 进行 鉴定 ,而 是 也 可 以 进 
行 检 验 ,主要 是 基于 当前 的 司法 现状 。 当 前 ,如 果 在 现 有 条 件 下 要 求 对 所 有 案件 一 律 出 具 鉴 
定 意见 ,不 少 案件 将 难以 处 理 。 而 且 以 危害 计算 机 信息 系统 安全 犯罪 解释 》 等 司法 解释 已 经 
规定 对 于 部 分 特定 电子 数据 可 以 进行 检验 。 因 此 ,这 里 基于 现实 需要 ,考虑 到 以 往 司 法 解释 
的 规定 ,对 于 有 疑问 的 电子 数据 , 既 可 以 采取 鉴定 的 方式 ,也 可 以 采取 侦查 机 关 检 验 与 司法 
机 关 认 定 相 结合 的 方式 。 对 于 采取 检验 方式 的 ,根据 (刑事 诉讼 法 解释 ?第 八 十 七 条 的 规定 ， 
应 当 参 照 鉴定 的 有 关 规 定 执行 ,特别 是 ,经 人 民法 院 通知 ,检验 人 应 当 出 庭 作 证 。 经 查证 属 
实 的 ,检验 报告 可 以 作为 定罪 量刑 的 参考 。 

(4) 电子 数据 与 案件 事实 有 无 关联 。 

通过 前 述 审 查 , 在 判断 电子 数据 的 合法 性 和 真实 性 之 余 , 还 应 当 对 电子 数据 与 案件 事实 
的 关联 性 进行 审查 。 只 有 与 案件 事实 有 关联 的 电子 数据 ,才能 作为 证 据 使 用 ; 不 具有 关联 
性 的 ,不 应 当 作 为 证 据 使 用 。 

(5) 与 案件 事实 有 关联 的 电子 数据 是 否 全 面 收集 。 
由 于 技术 原因 ,电子 数据 的 形式 多 种 多 样 . 涉 及 面 较 宽 ,相应 地 ,涉及 案件 事实 的 电子 数 


需要 注意 的 是 ,鉴定 或 者 检验 并 非 审 查 认定 电子 数据 的 前 提 条 件 和 必 经 程序 。 通 常 而 言 ,只 有 通过 其 他 方法 审 
查 电子 数据 仍然 存在 疑问 的 , 才 需 要 进行 鉴定 或 者 检验 。 司 法 实践 中 一 定 程度 存在 的 对 电子 数据 一 律 要 求 附 有 鉴定 意 
见 或 者 检验 报告 的 做 法 似 可 商 椎 。 
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据 的 范围 也 较 宽 。 因 此 ,在 司法 实践 中 ,要 注意 全 面 收 集 与 案件 事实 有 关联 的 电子 数据 , 避 
免 有 所 遗漏 。 要 全 面 审查 电子 数据 ， 既 要 审查 存在 于 计算 机 软 硬 件 上 的 电子 数据 ,也 要 审 
查 其 他 相关 外 围 设备 中 的 电子 数据 ; 既 要 审查 文本 信息 ,也 要 审查 图 像 .视频 等 信息 ; 既 要 
审查 对 犯罪 嫌疑 人 不 利 的 证 据 , 也 要 审查 对 其 有 利 的 证 据 , 通 过 全 面 综合 审查 ,审查 电子 数 
据 与 其 他 证 据 之 间 的 关系 ,确认 电子 数据 与 待 证 事实 之 间 的 关系 ”.@ 特别 是 ,对 于 犯罪 分 
子 删除 或 者 由 于 其 他 原因 被 删除 的 电子 数据 ,应 当 借助 一 定 的 技术 予以 恢复 ,以 更 为 全 面 地 
证 明 案件 事实 。 

(6) 对 于 采取 技术 侦查 措施 收集 的 电子 数据 ,要 按照 对 技 侦 证 据 的 相关 规定 进行 审查 。 

同 视听 资料 一 样 ,侦查 机 关 经 过 严格 的 批准 手续 ,可 以 采取 网 络 技术 侦查 措施 ,收集 相 
应 的 电子 数据 。 对 于 这 类 电子 数据 ,除了 按照 前 述 的 规定 审查 外 ,更 要 注重 对 合法 性 进行 判 
断 ,审查 是 否 经 过 严格 的 批准 手续 ,取证 过 程 是 否 符合 法 律 和 有 关 规 定 。 


3.6 本 章 小 结 


网 络 犯罪 将 网 络 作为 屏障 ,具有 高 度 的 隐蔽 性 ,演变 的 种 类 繁多 ,特点 不 一 。 这 都 对 网 
络 犯罪 的 法 律 规制 的 普 适 性 造成 巨大 的 阻碍 .网络 犯罪 立法 总 是 滞后 时 代 的 要 求 。 这 要 求 
侦查 机 关 一 方面 要 充分 利用 法 律 规定 打击 网 络 犯罪 活动 ; 一 方面 要 积极 协调 立法 机 关 , 针 
对 现实 情况 ,迅速 地 制定 相关 法 律 法 规 。 侦 查 机 关 不 仅仅 是 法 律 的 执行 者 ,而 更 应 该 理解 立 
法 的 精神 和 方向 ,并 将 其 运用 在 实践 中 。 


思 考 题 


. 涉及 网 络 犯罪 的 刑法 修正 案 有 哪些 ? 新 增 了 什么 罪名 ? 
. 网 络 犯罪 的 立法 模式 有 哪些 ? 我 国 是 使 用 哪 种 立法 模式 ? 
我 国 关 于 “危害 计算 机 信息 系统 安全 罪 ” 的 罪名 有 哪些 ? 
. 计算 机 网 络 作为 犯罪 目标 的 刑法 规定 有 哪些 ? 

5.《 和 危害 计算 机 信息 系统 安全 犯罪 解释 ) 规 范 的 “六 个 术语 界定 “四 个 定罪 量刑 标准 ” 
是 什么 内 容 ? 

6. 非法 侵入 计算 机 信息 系统 罪 和 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 
罪 ( 即 二 百 八 十 五 条 第 一 、 二 款 ) 在 侵入 行为 的 入 罪 方 面 有 何 异 同 ? 

7. 盗窃 虚拟 财产 犯罪 应 该 如 何 定罪 为 宜 ? 

8. 侵入 计算 机 信息 系统 后 ,并 未 破坏 计算 机 信息 系统 的 功能 或 者 数据 ,而 是 通过 控制 
计算 机 实施 特定 的 操作 获 利 的 行为 是 否 构成 犯罪 ? 


wD 


中 熊 卑 , 郑 兆 龙 :《 如 何 审查 运用 电子 数据 ). 载 (检察 日 报 )2012 年 6 月 5 日 第 3 版 。 
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9. 倒卖 计算 机 信息 系统 控制 权 的 行为 如 何 定罪 ? 

10. 远程 控制 类 程序 是 否认 定 为 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 、 
工具 ”? 

11.《 刑 法 修正 案 ( 九 )》 对 于 “以 计算 机 网 络 作 为 工具 ”实施 的 传统 犯罪 是 如 何 规定 的 ? 

12. 简 述 (关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 》。 

13. 关于 淫秽 色情 的 法 律 法 规 有 哪些 ? 解决 了 哪些 问题 ? 

14.《 关 于 办 理 网 络 犯 罪案 件 适 用 刑事 诉讼 程序 若干 问题 的 意见 》( 公 通 字 [2014]10 
号 ) 解 决 了 哪些 问题 ? 

15. 电子 数据 的 证 据 审查 规则 有 哪些 ? 
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本 章 学 习 目 标 
。 网 络 基础 知识 
。 网 络 设备 
。 数据 存储 设备 
。 网 络 协议 
网 络 应 用 

。 网 络 语言 

。 网 络 威 胁 

。 加 密 与 解密 

网 络 犯罪 的 复杂 性 ,要 求 网 络 犯罪 侦查 人 员 是 熟悉 和 利用 各 种 网 络 技术 的 集大成 者 。 
网 络 犯罪 侦查 的 基础 是 网 络 和 计算 机 知识 ,知识 是 应 用 的 基础 。 本 章 的 教学 目的 是 使 读者 
掌握 网 络 和 计算 机 的 基本 常识 和 基础 知识 ,了解 网 络 数据 传输 的 原理 ,为 网 络 犯罪 侦查 打下 
坚实 的 知识 基础 。 


4.1 网 络 基础 知识 


网 络 是 人 类 社会 发 展 史 上 最 重要 的 发 明 , 它 将 分 散在 各 地 的 计算 机 设备 通过 通信 和 链 路 
连接 起 来 ,在 网 络 操作 系统 、 应 用 软件 及 通信 协议 的 管理 和 协调 下 ,实现 资源 共享 和 信息 传 
递 , 极 大 地 扩展 了 信息 的 应 用 范围 , 带 来 了 新 技术 革命 。 


4.1.1 网 络 架 构 


计算 机 网 络 类 型 的 划分 标准 多 种 多 样 .地 理 范 围 划分 是 一 种 被 普遍 认可 的 通用 划分 标 
准 , 把 计算 机 网 络 分 为 局 域 网 、 城 域 网 和 广域网 。 

1) 局 域 网 

局 域 网 (Local Area Network,LAN) 是 在 一 个 局 部 的 地 理 范围 内 ,将 各 种 计算 机 设备 
(服务 器 工作站 等 ) 、 外 部 设备 (网 络 打印 机 等 ) 和 数据 库 等 应 用 通过 网 络 互联 设备 和 网 络 传 
输 介质 相互 联接 起 来 而 组 成 的 计算 机 通信 和 网络。 局 域 网 是 城 域 网 和 广域网 的 基础 。 
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局 域 网 是 最 典型 的 网 络 形态 ,一 般 为 一 个 部 门 或 单位 所 有 , 建 网 、 维 护 以 及 扩展 等 较 容 
易 , 系 统 灵活 性 高 。 局 域 网 也 是 网 络 犯罪 侦查 遇 到 的 主要 网 络 架 构 , 其 主要 特点 有 : 

(1) 覆盖 的 地 理 范 围 较 小 ,只 在 一 个 相对 独立 的 局 部 范围 内 联网 ,如 一 座 或 几 座 集中 的 
建筑 群 内 ; 

(2) 使 用 专门 的 传输 介质 进行 联网 ,数据 传输 速率 高 (10M 一 10Gbps) ; 

(3) 通信 延迟 时 间 短 ,可 靠 性 较 高 ; 

(4) 可 支持 多 种 传输 介质 。 

局 域 网 的 主要 技术 要 素 有 网 络 拓扑 、 传 输 介 质 和 介质 访问 控制 方法 。 局 域 网 若 按 网 
络 拓扑 结构 分 类 ,可 分 为 总 线 型 . 星 形 、 环 形 、 树 形 、 混 合 型 等 ; 若 按 网 络 使 用 的 传输 介质 
分 类 ,可 分 为 有 线 局 域 网 和 无 线 局 域 网 ; 若 按 传输 介质 所 使 用 的 访问 控制 方法 分 类 ,又 可 
分 为 以 太 网 、 令 牌 环 网 .FDDI 网 和 无 线 局 域 网 等 。 其 中 ,以 太 网 是 当前 应 用 最 普遍 的 局 域 
网 技术 。 
2) 城 域 网 
城 域 网 (Metropolitan Area Network,MAN) 是 在 一 个 城市 范围 内 所 建立 的 计算 机 通信 
网 。 它 的 传输 媒介 主要 采用 光缆 ,传输 速率 在 100Mbps 以 上 。 

城 域 网 的 重要 用 途 是 用 作 骨 干 网 ,通过 它 将 位 于 同一 城市 内 不 同 地 点 的 主机 数据 库 以 
及 LAN 等 互相 联接 起 来 ,为 整个 城市 服务 。 城 域 网 的 具体 应 用 是 高 速 上 网 、 视 频 点 播 、 视 
频 通 话 、 网 络 电视 、 远 程 教育 、 远 程 会 议 ,等 等 。 

3) 广域网 

广域网 (Wide Area Network,WAN) 也 称 远程 网 ,通常 跨 接 很 大 的 物理 范围 ,所 覆盖 的 
范围 从 几 十 公里 到 几 千 公 里 ,能 连接 多 个 城市 或 国家 ,或 横 跨 几 个 洲 并 能 提供 远 距 离 通信 ， 
形成 国际 性 的 远程 网 络 。 以 范围 论 , 互 联网 是 广域网 的 一 种 。 


4.1.2 网 络 分 层 模 型 


1. ISO OSI 模型 

早期 的 计算 机 网 络 是 使 用 不 同 的 技术 规范 和 实现 方法 而 组 成 的 独立 的 系统 ,不 同系 
统 之 间 一 般 是 不 能 兼容 的 。 为 解决 网 络 之 间 不 兼容 和 彼此 无 法 通信 的 问题 ,国际 标准 化 
组 织 D(ISO) 于 1984 年 发 布 了 开放 系统 互联 (Open System Interconnect,OSI) 网 络 模型 ,该 
参考 模型 为 厂商 提供 了 参照 标准 .确保 不 同类 型 的 网 络 产品 之 间 具 有 更 好 的 兼容 性 和 互 

OSI 参考 模型 是 一 种 概念 模型 . 它 由 七 层 组 成 .从 下 到 上 依次 是 : 物理 层 、 数 据 链 路 层 、 
网 络 层 传输 层 、 会 话 层 、 表 示 层 和 应 用 层 ,各 层 的 主要 功能 如 图 4. 1 所 示 。 
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用 户 接 口 ， 处 理应 用 程序 之 间 的 通信 


应 用 层 
表示 反 数据 的 表示 方式 、 数据 的 特殊 处 理 (如 加 密 ) 
去 语 层 在 两 个 端点 的 应 用 程序 之 间 建 立 连 接 或 进行 会 话 ， 保 持 不 同 应 用 数据 的 独立 
话 
传输 层 可 靠 或 非 可 靠 传输 ， 重 传 前 的 错误 纠正 ， 为 两 个 应 用 程序 之 问 提供 通信 
7 负责 逻辑 寻 址 和 路 径 选 择 以 及 逻辑 寻 址 之 间 的 路 由 
一 将 位 合成 字 节 、 字 节 合成 帧 ， 负 责 物理 寻 址 和 对 网 卡 的 控制 


访问 介质 , 非 纠 错 性 错误 检测 ,在 设备 间 传 输 比 特 流 、 规 定 电压 、 线 速 和 线 
缆 规 格 ， 以 二 进 制 比特 流 形式 传输 数据 


物理 层 


图 4.1 OSI 各 层 的 主要 功能 


2.TCP' IP 模型 
OSI 参考 模型 得 到 了 业界 认可 ,但 互联 网 是 个 复杂 的 系统 ,OSI 参考 模型 不 够 具体 , 需 
要 一 个 更 加 实用 的 网 络 模型 ,TCP/IP 体系 结构 应 运 而 生 。 在 TCP/IP 体系 结构 中 ,将 网 络 
模型 分 为 四 层 ,每 层 包 含 诸多 相应 协议 。 表 4. 1 给 出 了 TCP/IP 模型 与 OSI 参考 模型 间 的 
对 应 关系 及 各 层 包 含 的 主要 协议 。 
表 4.1 TCP/IP 模型 结构 及 各 层 主要 协议 


TCP/IP 模型 TCP/IP 协议 徐 包 含 协议 对 应 OSI 模型 
应 用 屋 HTTP、FTP、Telnet、SMTP、POP3、 了 
2 DNS .DHCP 本 和 
传输 层 TCP.UDP 传输 层 
网 络 层 IP.ICMP、ARP IGMP IPSec 网 络 层 
网 络 接口 层 Ethernet .FDDI.ATMX. 25 Se 


1) 网 络 接口 层 协议 

TCP/IP 体系 结构 中 ,网络 接口 层 兼容 各 种 已 有 的 标准 ,负责 用 户 端 网 络 (主要 是 局 域 
网 ) 和 主机 的 接 入 和 管理 。 应 用 在 本 层 的 协议 主要 有 以 太 网 协议 (Ethernet) .光纤 分 布 式 数 
据 接口 (FDDI) 、 异 步 传 输 模式 (ATM) 、X. 25 协议 等 。 

2) 网 络 层 协议 

TCP/IP 体系 的 网 络 层 提供 寻 址 和 路 由 选择 协议 ,路 由 器 主要 工作 在 该 层 。 应 用 在 本 
层 的 协议 主要 有 网 际 协议 (IP) 、 网 际 控制 报 文 协议 (ICMP) .地址 解析 协议 (ARP) 、Internet 
组 管理 协议 (IGMP) Internet 安全 协议 (IPSec) 等 。 

(1) 网 际 协议 (IP) 。 

IP 协议 是 一 个 面向 无 连接 的 协议 ,主要 负责 在 主机 和 网 络 间 寻 址 并 为 IP 分 组 设 定 路 
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由 。IP 协议 在 交换 数据 前 并 不 建立 会 话 ,数据 在 收 到 时 也 不 需要 确认 , 即 它 不 保证 数据 分 
组 是 否 正确 传递 ,因此 IP 协议 是 不 可 靠 的 传输 。 

(2) Internet 控制 报 文 协议 (ICMP) 。 

ICMP 协议 用 于 报告 错误 ,传递 控制 信息 。ICMP 定义 了 一 套 允 许 主机 或 路 由 器 报告 
差错 情况 的 机 制 ,当中 间 网 关 发 现 传输 错误 时 ,立即 向 信 源 主机 发 送 ICMP 报 文 , 报 告 出 错 
情况 ,以 使 信 源 主机 采取 相应 的 纠正 措施 ; ICMP 还 用 来 传递 控制 报 文 ,常用 的 ping、 
traceroute 等 工具 就 是 利用 ICMP 报 文 工 作 的 。 

(3) 地 址 解析 协议 (ARP) 。 

ARP 协议 用 于 在 同一 物理 网 络 中 由 已 知 的 卫 地 址 确定 主机 的 MAC 地 址 (数据 链 路 
层 地 址 、 硬 件 地 址 ) 。 

(4) Internet 组 管理 协议 (IGMP) 。 

IGMP 协议 对 网 络 组 播 进行 控制 和 管理 。 

(5) Internet 安全 协议 (IPSec)。 

IPSec 协议 是 IETF 提出 的 保护 IP 报 文安 全 通信 的 一 系列 规范 , 它 为 公用 网 传递 私有 
信息 提供 安全 保障 。IPSec 是 一 个 协议 簇 , 用 于 在 IP 层 提供 机 密 性 、 数 据 源 鉴别 和 完整 性 
保护 。 

3) 传输 层 协 议 

TCP/IP 体系 的 传输 层 分 割 并 重新 组 装 上 层 ( 应 用 层 ) 提 供 的 数据 流 ,为 数据 流 提供 端 
到 端的 传输 服务 。 应 用 在 本 层 的 协议 主要 有 传输 控制 协议 (TCP) 和 用 户 数据 报 协 议 
(UDP), 

(1) 传输 控制 协议 (TCP) 。 

TCP 提供 一 种 可 靠 的 面向 连接 的 字 节 流 服务 。 面 向 连接 意味 着 两 台 使 用 TCP 的 主机 
(通常 是 一 个 客户 机 和 一 个 服务 器 ) 在 彼此 交换 数据 包 之 前 必须 先 建立 一 个 TCP 连接 。 
TCP 协议 在 主机 之 间 是 使 用 三 次 握手 协议 建立 连接 的 ,并 尽 最 大 努力 确保 数据 在 此 连接 上 
可 靠 传 递 。TCP 协议 在 通信 双方 建立 连接 后 ,将 数据 分 成 数据 报 ,为 其 指定 顺序 号 。 在 接 
收 端 收 到 数据 报 之 后 进行 错误 检查 ,对 正确 传送 的 数据 发 送 确 认 数 据 报 .对 发 生 错误 的 数据 
报 发 送 重 传 请 求 。 

(2) 用 户 数 据 报 协 议 (UDP) 。 

UDP 是 一 种 无 连接 的 传输 层 协 议 .不 提供 数据 包 分 组 和 组 装 , 不 能 对 数据 包 进行 排序 ， 
即 不 能 对 传送 的 数据 包 进 行 可 靠 性 保证 。 因 此 ,UDP 适合 于 一 次 传输 少量 数据 ,上 且 丢 失 一 
些 数据 对 应 用 程序 来 说 没有 多 大 影响 的 情形 。UDP 传输 的 可 靠 性 由 应 用 层 负 责 。 由 于 
UDP 是 无 连接 的 ,因此 它 的 资源 开销 和 网 络 延 迟 比 TCP 小 。 一 些 应 用 层 的 协议 ,如 DNS 
(域名 系统 ) .DHCP( 动 态 主机 配置 协议 )、SNMP( 简 单 网 络 管理 协议 ) 等 都 是 使 用 UDP 协 
议 的 。 
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4) 应 用 层 协 议 

TCP/IP 体系 结构 的 最 高 层 是 应 用 层 , 它 的 任务 是 为 最 终 用 户 提 供 服 务 。 应 用 层 的 具 
体内 容 就 是 规定 应 用 进程 在 通信 时 所 遵循 的 协议 。 应 用 在 本 层 的 协议 主要 有 超 文 本 传输 协 
议 (HTTP) .文件 传输 协议 (FTP) 、 远 程 登录 协议 (Telnet) 、 简 单 邮件 传输 协议 (SMTP)、 邮 
局 协议 第 三 版 (POP3) ,域名 系统 (DNS) 等 。 


4.1.3 IP 地 址 


网 络 犯罪 侦查 遇 到 最 多 的 信息 就 是 IP 地址 ,因此 侦查 人 员 不 能 不 对 IP 地 址 有 深刻 的 
认识 。 目 前 广泛 应 用 的 IP(Internet Protocol) 版 本 为 IPv4, 它 使 用 32 位 的 二 进 制 地 址 ,每 
个 地 址 由 4 个 8 位 组 构成 ,每 个 8 位 组 被 转换 成 十 进 制 ,并 用 *. ”来 分 割 , 即 “点 分 十 进 制 " 表 
示 法 。IP 地 址 由 网 络 ID(NET-id) 和 主机 ID(HOST-id) 组 成 。 网 络 中 两 台 主 机 相互 通信 
时 , 先 按照 网 络 ID 查找 目标 主机 所 在 的 网 络 ,将 数据 传 到 该 网 络 , 之 后 再 按照 主机 ID 找到 
目标 主机 ,将 数据 传送 到 该 主机 。 

为 了 适应 不 同 的 网 络 需 求 ,IPv4 地 址 被 分 成 5 类, 分别 是 A 类 、B 类 、.C 类 .D 类 \E 类 ， 
其 分 配 由 Internet 地 址 授权 委员 会 (IANAD) 统 一 管理 。 五 类 IP 地 址 的 前 三 类 (A 类 、B 
类 、C 类 ) 被 用 作 全 球 唯一 的 单 播 地 址 ; D 类 、E 类 地 址 为 组 播 和 实验 目的 保留 。 

在 IP 地址 的 二 进 制 表示 法 中 , 左 起 数值 0、10、110、1110、11110 分 别 对 应 着 A 类 、B 类 、 
C 类 .DD 类 和 类 地 址 , 且 A 类.B 类 、C 类 地 址 的 NET-id 的 长 度 分 别 为 1 个 字 节 、2 个 字 节 
和 3 个 字 节 ,HOST-id 的 长 度 分 别 为 3 个 字 节 、2 个 字 节 和 1 个 字 节 。D 类 和 EE 类 地 址 不 划 
分 NET-id 和 HHOST-id。 具 体 表示 方法 如 图 4.2 所 示 。 


1 第 守节 | 第 2 守节 1 第 3 字 节 | 第 守节 1! 
A 类 01 NET-id(7bit) HOST-id(24bit) 
B 类 10 | NET-id(14bit) HOST-id(16bit) 
c 类 110 | NET-id(21bit) HOST-id(8bit) 
D 类 1110 | 组 播 地 址 
EB 天 1 | 保留 


图 4.2 IP 地 址 分 类 表示 方法 


1. A 类 地 址 

A 类 地 址 占 整 个 地 址 空间 的 1/2, 按 网 络 ID 可 分 为 128 个 块 ,每 一 块 包含 有 16 777 216 
个 地 址 。 第 一 块 覆盖 的 地 址 范围 为 0. 0. 0.0~0. 255. 255. 255(NET-id 为 0) ,最 后 一 块 覆盖 
的 地 址 范围 为 127. 0. 0.0 一 127. 255. 255. 255(NET-id 为 127) 。 除 了 3 块 地 址 (NET-id 分 
别 为 0、10、127 的 块 ) 为 私有 地 址 作为 专用 外 ,其 余 125 个 块 可 被 分 配 。 


四 http://www.iana.org 
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2. B 类 地 址 

B 类 地 址 占 整 个 地 址 空间 的 1/4, 按 网 络 ID 可 分 为 16 384 个 块 ,每 一 块 包 含有 65 536 
个 地 址 。 第 一 块 覆盖 的 地 址 范围 为 128. 0. 0. 0 一 128. 0. 255. 255(NET-id 为 128. 0) ,最 后 一 
块 覆盖 的 地 址 范围 为 191. 255. 0. 0 一 191. 255. 255. 255(NET-id 为 191. 255) 。 除 了 其 中 16 
个 块 保留 为 私有 地 址 之 外 ,其 余 16 368 个 块 可 被 分 配 。 

3. C 类 地 址 

C 类 地 址 占 整 个 地 址 空间 的 1/8, 按 网 络 ID 可 分 为 2 097 152 个 块 , 每 一 块 包含 有 256 
个 地 址 。 第 一 块 覆盖 的 地 址 范围 为 192. 0. 0.0 一 192. 0. 0.255(NET-id 为 192. 0. 0) ,最 后 一 
块 覆盖 的 地 址 范围 为 223. 255. 255. 0 一 223. 255. 255. 255(NET-id 为 223. 255. 255) 。 除 了 
其 中 256 个 块 保留 为 私有 地 址 之 外 ,其 余 2 096 896 个 块 可 被 分 配 。 

4. D 类 地 址 

D 类 地 址 占 整个 地 址 空间 的 1/16 ,不 像 A、B、C 类 地 址 一 样 拥有 网 络 ID 与 主机 ID。 用 
于 IP 网 络 中 的 组 播 (多 点 广播 ) ,主要 留 给 互联 网 体系 结构 委员 会 (IAB) 使 用 。 组 播 地 址 没 
有 子 网 掩 码 。 
5. EE 类 地 址 
下 类 地 址 被 Internet 工程 任务 组 (Internet Engineering Task Force,IETFD) 保 留 做 研 
究 使 用 ,因此 Internet 上 没有 可 用 的 EE 类 地 址 。E 类 地 址 的 有 效 范 围 从 240. 0. 0.0 一 255. 
255.255: 汉 555 

6. IP 地 址 的 特殊 情况 

IP 地 址 中 的 某 些 地 址 为 特殊 目的 保留 ,这 些 地 址 的 作用 及 使 用 方法 包括 以 下 几 种 
情况 ， 

。 网 络 地 址 和 主机 地 址 的 特殊 情况 。 

网 络 地 址 部 分 不 能 设置 为 全 0 或 全 1。 当 IP 地 址 为 0.0.0.0 时 , 它 代表 一 个 未 知 网 络 。 
当 IP 地 址 为 255. 255. 255. 255 时 , 它 代 表面 向 本 地 网 络 所 有 主机 的 广播 ,被 称 为 “ 泛 洪 广 
播 >。 路 由 器 不 会 转发 泛 洪 广播 。 当 主机 地 址 部 分 为 全 0 时 , 它 代表 整个 网 段 ,例如 
192.168. 1.0。 当 主机 地 址 部 分 全 为 1 时 , 它 代 表 一 个 面向 这 个 网 络 的 定向 广播 ' 例 如 
192. 168. 1. 255 ,这 个 广播 消息 会 发 送 给 192. 168. 1.0 网 段 的 所 有 主机 。 

。 公有 地 址 和 私有 地 址 。 

公有 地 址 (public address) 由 Internet 地 址 授权 委员 会 (IANA) 负 责 分 配 , 使 用 这 些 公 
有 地 址 可 以 直接 访问 Internet。 

私有 地 址 (private address) 属 于 非 注 册 地 址 ,专门 为 组 织 机 构 内 部 使 用 .A、B、C 类 地 址 
均 保 留 有 私有 地 址 , 表 4.2 列 出 了 私有 地 址 ,用 途 是 内 部 寻 址 。 


D http://www. ietf. org/ 
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表 4.2 网 络 地 址 
类 别 网 络 号 地 址 范围 
A 类 10. 0. 0.0/8 10. 0. 0.0~1 
B 类 172. 16. 0.0/12 172. 16. 0. 0 一 172. 
C 类 192. 168. 0.0/16 192. 168. 0. 0 一 192. 168. 


。 回路 地 址 。 

127. X. X. XX 分 配给 回路 地 址 ,可 以 利用 该 地 址 测试 TCP/IP 配置 ,因为 该 地 址 不 需要 
任何 网 络 连 接 。 在 排除 网 络 故障 时 ,可 以 用 回路 地 址 测试 TCP/IP 协议 是 否 正 常 。 由 于 
127.0.0.1 是 回路 地 址 ,所 以 如 果 TCP/IP 工 作 常 的 话 , 这 个 地 址 始终 是 能 ping 通 的 。 

IPv4 的 地 址 已 于 2011 年 2 月 3 日 分 配 完毕 ,这 极 大 地 制约 了 网 络 的 发 展 。 因 此 代替 
IPv4 的 IPv6(Internet Protocol Version 6) 出 现 ,IPv6 地 址 长 度 为 128, 拥 有 的 地 址 容量 是 
IPv4 的 约 8X102 倍 ,达到 2 个。 目前 IPv6 的 普及 主要 受到 网 络 设备 发 展 的 制约 ,现存 的 
大 量 网 络 设备 不 支持 IPv6 ,由 于 未 到 使 用 寿命 ,暂时 无 法 升级 换代 

7. IP 地 址 的 查询 

在 Windows 的 大 部 分 主机 上 ,可 以 采用 ipconfig 命令 获取 本 机 所 有 与 IP 相关 的 信息 

(参见 图 4. 3) 


C:\Documents and Settings Adninistrator>ipconf ig 


Mindows IP Configuration 


IEthernet adapter 本 地 连接 : 


Connection-specific DNS Suffix 

IP fddre: - :192.168.5-198 
: 255.255.255.0 
: 192.168.5.1 


IlEthernet adapter Bluetoot 


Media State : Media disconnected 


图 4.3 在 Windows 主机 上 查询 本 机 IP 地 址 


在 Mac OS 及 类 UNIX 的 主机 上 可 以 使 用 ifconfig 等 命令 获取 本 机 IP 地 址 等 详细 信息 
(参见 图 4. 4)。 


4.1.4 网 络 接 入 方式 


互联 网 接 人 利用 某 种 传输 技术 完成 用 户 与 互联 网 的 高 带宽 .高 速度 的 物理 连接 。 目 前 
我 国 常用 的 互联 网 接 人 方式 主要 有 ADSL( 非 对 称 式 数 字 用 户 线 )、 无 线 局 域 网 .HFC( 混 合 
光纤 同 轴 电缆 网 ) 光纤 等 几 种 。 
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敬畏 192. 168. 5. 255 


(6.4 MiB) 


图 4.4 在 UNIX 主 机 上 查询 本 机 IP 地址 


1. ADSL 接 人 

ADSL( 非 对 称 DSL) 是 一 种 铜 线 接 入 方式 ,能 够 通过 普通 电话 线 提供 宽带 数据 业务 。 
ADSL 是 xDSL( 数 字 用 户 线路 ) 的 一 种 。ADSL 理论 上 可 达到 8Mbps 的 下 行 和 1Mbps 
的 上 行 i ADSL 一 般 通 过 RJ-11 双 绞 线 ( 电 话 线 ) 传 输 , 内 部 接口 与 计算 机 设备 的 RJ-45 


接口 相连 ,如 图 4.5 所 示 。 由 于 ADSL 可 以 利用 电话 线路 传输 数据 ,因此 ADSL 曾经 非常 
普及 , 随 着 光纤 通信 的 发 展 ,使 得 以 铜 线 方式 传输 的 ADSL 逐步 消失 
图 4.5 RJ-11 和 RJ-45 接头 的 双 绞 线 
2. 无 线 局 域 网 接 人 
无 线 局 域 网 (Wireless Local Area Networks, WLAN) 是 近 几 年 流行 并 逐渐 发 展 成 熟 的 


一 种 全 新 网 络 组 建 方式 ,是 当今 通信 和 领域 的 热点 之 一 , 它 在 一 定 程度 上 扔 掉 了 有 线 网 络 必须 
依赖 的 网 线 ,达到 了 信息 随身 化 的 理想 境界 。 和 有 线 网 络 相 比 .无线 局 域 网 的 部 署 和 实施 也 
相对 简单 ,维护 的 成 本 低廉 .一般 只 要 安放 一 个 或 多 个 接 入 点 设备 就 可 以 建立 覆盖 整个 建筑 
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或 地 区 的 局 域 网 络 。 
基于 IEEE 802. 11 标准 的 无 线 局 域 网 允许 在 局 域 网 络 环境 中 可 以 使 用 不 必 授 权 的 
ISM 频段 中 的 2. 4GHz 或 5GHz 射频 波段 进行 无 线 连接 ,常见 的 网 络 结构 如 图 4.6 所 示 。 


图 4.6 WLAN 基本 拓扑 结构 


无 线 局 域 网 中 有 几 个 概念 必须 要 了 解 。 
。 客户 端 (Client): 带 有 无 线 网 卡 的 PC 或 便携 式 笔 记 本 电脑 等 终端 。 
。 AP(Access Point , 接 人 点 ): 提供 无 线 客户 端 到 局 域 网 的 桥接 功能 ,在 无 线 客户 端 与 
无 线 局 域 网 之 间 进 行 无 线 到 有 线 和 有 线 到 无 线 的 帧 转换 。 
。 AC(Access Controller, 无 线 控制 器 ): 对 无 线 局 域 网 中 的 所 有 AP 进行 控制 和 管理 ， 
还 可 以 通过 同 Radius 服务 器 (认证 服务 器 ) 交 互信 息 , 来 为 WLAN 用 户 提供 认证 
服务 。 
。 SSID(Service Set Identifier, 服 务 组 合 识 别 码 ): 客户 端 可 以 先 扫描 所 有 网 络 ,然后 
选择 特定 的 SSID 接 入 某 个 指定 无 线 网 络 。 
。 无 线 介质 : 无 线 介质 是 用 于 在 无 线 用 户 间 传输 帧 的 介质 。WLAN 系统 使 用 无 线 射 
频 作为 传输 介质 。 
需要 注意 的 是 ,WLAN 系统 不 是 完全 的 无 线 系统 , 它 的 服务 器 和 骨干 网 仍然 安置 在 固 
定 网 络 , 用 户 只 是 可 以 通过 无 线 方式 接 入 网 络 。 
3. HFC 接 入 
HFC(Hybrid Fiber-Coaxial) ,光纤 同 轴 混 合 接 入 方式 ,是 一 种 基于 有 线 电 视 网 络 铜 线 
资源 的 接 人 方式 ,具有 专线 上 网 的 连接 特点 ,允许 用 户 通过 有 线 电视 网 实现 高 速 接 人 互联 
网 。HFC 宽带 接 入 网 下 行 传输 利用 550 一 870MHz 频段 ,在 我 国 一 般 采 用 北美 标准 ,以 
64QAM 调制 方式 调制 传输 数据 ,传输 速率 可 达 27Mbps。HFC 接 入 方式 的 特点 是 速率 较 
高 , 接 和 方式 方便 (通过 有 线 电缆 传输 数据 ,如 图 4.7 所 示 ,不 需 重 新 布线 ) ,可 实现 各 类 视频 
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服务 、 高 速 下 载 等 。 缺 点 在 于 基于 有 线 电 视 网 络 的 架构 是 属于 网 络 资源 分 享 型 的 , 当 用 户 激 
增 时 ,速率 就 会 下 降 且 不 稳定 ,扩展 性 不 够 。 
聚 所 乙烯 护 套 


铜 线 编织 


实心 聚 乙烯 绝缘 


裸 铜 导体 
图 4.7 HFC 同 轴 电 缆 


4. 光纤 接 人 

光纤 接 入 方式 是 通过 光纤 接 入 到 节点 ,再 由 双 绞 线 连接 到 各 个 共享 点 上 (一 般 不 超过 
100m) ,提供 一 定 区 域 的 高 速 互 联接 人 。 该 种 接 人 方式 的 特点 是 速率 高 , 抗 干扰 能 力 强 , 适 
用 于 家 庭 , 个 人 或 各 类 企 事 业 团体 ,实现 视频 服务 高速 数据 传输 .远程 交互 等 各 类 高 速率 的 
互联 网 应 用 ; 缺点 是 一 次 性 布线 成 本 较 高 。 

典型 的 光纤 接 人 是 EPON( 以 太 无 源 光 网 络 ) 技 术 , 它 在 物理 层 使 用 PON( 被 动 光 网 络 ) 
技术 ,在 链 路 层 使 用 以 太 网 协议 ,综合 了 光 网 络 和 以 太 网 的 优点 。 光 纤 接 人 必然 替代 过 渡 性 
的 双 绞 线 xDSL 和 基于 同 轴 电 缆 的 HFC 等 其 他 接 人 ,各 种 光纤 如 图 4. 8 所 示 。 


pm 二 


FC/APC 
FC/PC 
图 4.8 不 同 制式 的 光纤 


5. 三 网 融合 

三 网 融合 又 叫 三 网 合 一 , 指 的 是 电信 了 网、 广播 电视 网 、 互 联网 三 大 网 络 通过 技术 改造 ,在 
向 宽带 通信 网 .数字 电视 网 .下 一 代 互 联网 的 演进 过 程 中 互相 渗透 、 互 相 兼容 ,使 其 技术 功能 
趋 于 一 致 ,业务 范围 趋 于 相同 ,实现 网 络 互联 互通 .资源 共享 。 
三 网 合 一 并 不 意味 着 三 大 网 络 的 物理 合 一 ,而 主要 是 指 高 层 业务 应 用 的 融合 ,从 不 同 角 
度 和 层次 上 分 析 , 可 以 涉及 技术 融合 、 业 务 融合 \ 行 业 融 合 、 终 端 融 合 以 及 网 络 融 合 。 三 大 网 
络 普遍 采用 统一 的 TCP/IP 协议 ,从 技术 上 使 三 网 融合 的 实现 成 为 可 能 ,使 得 各 种 以 IP 为 
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基础 的 业务 都 能 在 不 同 的 网 络 上 实现 互通 。 

6. NAT 

NAT(Network Address Translation, 网 络 地 址 转换 ) 的 作用 是 : 在 局 域 网 内 的 主机 与 
外 界 通 信 时 ,将 本 地 地 址 转换 成 公用 IP 地 址 。 

NAT 的 实现 方式 有 三 种 , 即 静 态 转 换 动态 转 换 和 端口 多 路 复 用 。 

(1) 静态 转换 是 指 将 局 域 网 的 私有 IP 地 址 转换 为 公有 IP 地 址 ,IP 地 址 一 对 一 , 即 某 个 
私有 IP 地 址 只 转换 为 某 个 公有 IP 地 址 。 借 助 于 静态 转换 ,可 以 实现 外 部 网 络 对 内 部 网 络 
中 某 些 特定 设备 (如 服务 器 ) 的 访问 。 

(2) 动态 转换 是 指 将 内 部 网 络 的 私有 IP 地 址 转换 为 公用 IP 地 址 时 ,所 有 被 授权 访问 
Internet 的 私有 IP 地 址 可 随机 转换 为 任何 指定 的 合法 IP 地 址 。 当 ISP 提供 的 合法 IP 地 址 
略 少 于 网 络 内 部 的 计算 机 数量 时 ,可 以 采用 动态 转换 的 方式 。 

(3) 端口 多 路 复 用 是 指 改变 外 出 数据 包 的 源 端 口 ,并 进行 端口 转换 。 采 用 端口 多 路 复 
用 方式 ,内 部 网 络 的 所 有 主机 均 可 共享 一 个 合法 外 部 IP 地 址 以 实现 Internet 访问 ,从 而 最 
大 限度 地 节约 IP 地 址 资源 。 同 时 ,又 可 隐藏 网 络 内 部 的 所 有 主机 ,有 效 避 免 来 自 Internet 
的 攻击 。 目 前 网 络 中 NAT 应 用 最 多 的 就 是 端口 多 路 复 用 方式 。 

在 涉及 局 域 网 环境 的 网 络 犯罪 侦查 中 ,需要 对 路 由 器 的 NAT 表 进 行 检查 ,以 确定 内 网 
的 涉案 计算 机 设备 。 


4.1.5 数 制 


与 实际 生活 中 习惯 使 用 的 十 进 制 不 同 ,计算 机 使 用 的 是 只 包含 0 和 1 两 个 数值 的 二 进 
制 。 通 常情 况 下 ,计算 机 运算 和 存储 使 用 二 进 制 , 网 络 分 析 时 看 到 的 是 十 六 进 制 ,而 我 们 最 
习惯 使 用 的 则 是 十 进 制 。 这 就 涉及 数 制 的 概念 和 转换 。 

1. 几 个 基本 概念 

数 制 也 称 计 数 制 ,是 用 一 组 固定 的 符号 和 统一 的 规则 表示 数值 的 方法 。 无 论 哪 种 数 制 ， 
都 涉及 以 下 基本 概念 。 

1) 数码 

数 制 中 表示 基本 数值 大 小 的 不 同 数字 符号 。 例 如 ,十 进 制 有 10 个 数码 : 0、1、2、3、4、5、 
87、.8.9。 

2) 基数 

一 种 数 制 允许 使 用 数码 的 个 数 。 例 如 ,二 进 制 的 基数 为 2; 十 六 进 制 的 基数 为 16 。 

3) 位 权 

数 制 中 某 一 位 上 的 数字 所 表示 数值 的 大 小 。 例 如 ,十 进 制 的 137,1 的 位 权 是 100,3 的 
位 权 是 10,7 的 位 权 是 1。 二进制 中 的 1001 ,第 一 个 1 的 位 权 是 8, 第 一 个 0 的 位 权 是 4, 第 
二 个 0 的 位 权 是 2, 第 二 个 1 的 位 权 是 1。 
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2. 常用 的 数 制 

数 制 有 多 种 不 同 的 表现 方式 ,人 们 通常 采用 的 数 制 有 十 进 制 二 进 制 `. 八 进 制 和 十 六 进 
制 等 。 

1) 十 进 制 

最 常见 的 进位 计数 制 。 在 十 进 制 中 , 数 用 0、1、2、3、4、5、6、7、8、9 这 十 个 符号 来 描述 。 
计数 规则 是 才 十 进 一 。 十 进 制 使 用 后 级 d 表示 ,但 一 般 情况 下 会 省 略 。 

2) 二 进 制 

在 计算 机 中 ,一 切 信息 的 存储 、 处 理 与 传输 全 部 采用 二 进 制 的 形式 。 在 二 进 制 中 , 数 用 
0 和 1 两 个 符号 来 描述 。 计 数 规则 是 轿 二 进 一 。 对 计算 机 来 说 ,能 识别 的 只 有 0 和 1。 每 个 
0 或 者 1 称 为 一 个 “位 (bit)”, 每 8 个 “位 ”组 成 一 个 “ 字 节 (byte)”。 二 进 制 使 用 后 级 B 表示 ， 
如 101B。 

由 于 二 进 制 写 起 来 经 常 很 长 , 且 不 方便 记忆 ,因此 在 实际 应 用 中 引入 了 八进制 和 十 六 进 
制 。 进 制 越 大 , 数 的 表达 长 度 就 越 短 。 另 外 “8” 和 ”16? 分 别 是 “2 的 3 次 短 ” 和 “2 的 4 次 因 ”， 
这 就 使 得 三 种 进 制 之 间 的 转换 非常 直接 。 八 进 制 和 十 六 进 制 缩短 了 二 进 制 数 ,同时 又 保持 
了 二 进 制 数 的 表达 特点 ,其 中 又 以 十 六 进 制 更 为 常见 

3) 十 六 进 制 

计算 机 指令 代码 和 数据 的 书写 中 经 常 使 用 的 数 制 。 在 十 六 进 制 中 , 数 用 0、1、2、3、4、5、 
6.7.8.9 以 及 A、B.C.D、E、F( 或 a.b.c.d、e、f)16 个 符号 来 描述 ,A 代表 10,B 代表 11,C 代 
表 12,D 代表 13,E 代表 14.F 代表 15。 计 数 规则 是 轿 十 六 进 一 。 十 六 进 制 使 用 后 级 了 表 
示 , 如 86H 表示 这 是 一 个 十 六 进 制 数 ,也 可 以 表示 成 0x86 。 


4.1.6 操作 系统 


操作 系统 (Operating System,OS) 是 管理 和 控制 计算 机 硬件 与 软件 资源 的 程序 ,是 直接 
运行 在 电子 设备 上 的 最 基本 的 系统 软件 ,任何 应 用 软件 都 必须 在 操作 系统 的 支持 下 才能 
行 。 
操作 系统 的 种 类 相当 多 , 按 应 用 领域 划分 主要 有 三 种 : 桌面 操作 系统 、 服 务 器 操作 系统 
和 嵌入 式 操 作 系 统 。 
桌面 操作 系统 主要 用 于 个 人 计算 机 上 。 个 人 计算 机 市 场 从 硬件 架构 上 来 说 主要 分 为 两 
大 阵营 : PC 与 Mac 机 。 对 应 的 操作 系统 可 主要 分 为 两 大 类 : Windows 操作 系统 和 Mac 操 
作 系 统 。 
服务 器 操作 系统 一 般 指 的 是 安装 在 大 型 计算 机 上 的 操作 系统 ,例如 Web 服务 器 、 应 用 
服务 器 和 数据 库 服 务 器 等 。 服 务 器 操作 系统 主要 集中 在 三 大 类 : UNIX 系列 、Linux 系列 、 
Windows 系列 。 
嵌入 式 操作 系统 是 应 用 在 嵌入 式 设备 的 操作 系统 。 嵌 入 式 系统 涵盖 范围 从 便携 设备 到 
大 型 固定 设施 ,如 数码 相机 、 手 机 、 平 板 电脑 ,家 用 电器 ` 医 疗 设备 .交通 灯 \ 航 空 电子 设备 和 
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工厂 控制 设备 等 。 在 柑 和 人 式 领 域 常用 的 操作 系统 有 肉 入 式 Linux、Windows Embedded、 
VxWorks 等 ,以 及 广泛 使 用 在 移动 设备 中 的 操作 系统 ,如 Android、iOS、Symbian、Windows 
Phone 和 BlackBerry OS 等 。 


4.1.7 移动 通信 


移动 通信 从 无 线 电 发 明之 日 开始 就 产生 了 ,因此 移动 通信 的 基础 是 无 线 电 通信 。 移动 
通信 综合 利用 了 有 线 .无 线 的 传输 方式 ,为 人 们 提供 了 一 种 快速 便捷 的 通信 手段 。 由 于 电 了 了 
技术 ,尤其 是 半导体 ,集成 电路 及 计算 机 技术 的 发 展 ,以 及 市 场 的 推动 ,使 物美 价 廉 , 轻 便 可 
靠 , 性 能 优越 的 移动 通信 设备 成 为 可 能 。 现 代 的 移动 通信 发 展 至 今 ,主要 经 历 了 4 个 发 展 
阶段 。 

1. 第 一 代 移 动 通信 技术 

第 一 代 移 动 通信 技术 (1G), 即 模拟 蜂窝 移动 通信 技术 ,也 称 为 1G 移动 通信 , 自 20 世纪 
80 年 代 开 始 使 用 ,主要 包括 AMPS 和 TACS 等 制式 标准 。 

第 一 代 移动 通信 系统 采用 频 分 多 址 (FEDMA) 的 模拟 调制 方式 ,与 目前 无 线 通信 中 的 模 
拟 双 工 电台 类 似 , 收 发 均 采用 固定 频段 ,频谱 利用 率 低 , 信 令 干 扰 话 音 业 务 ,通信 不 加 密 且 不 
稳定 ,同时 仅 能 够 进行 语音 通话 。 

2. 第 二 代 移 动 通信 技术 

第 二 代 移 动 通信 技术 (2G) 包 括 GSM、CSD、CDMAONE.、PHS 等 多 种 标准 ,这 些 标准 一 
般 被 统称 为 2G 标准 。2G 标准 带 来 的 最 显著 的 变化 是 支持 诸如 SMS 文字 短信 这 样 的 服 
务 ,2G 标准 蔡 代 1G 标准 不 久 ,发 SMS 文字 短信 就 成 为 了 人 们 喜爱 的 沟通 方式 。GSM 制 
式 是 目前 全 球 范围 内 应 用 最 广 的 2G 制式 ,超过 80% 的 运营 商 的 2G 网 络 选 择 GSM 制式 。 

中 国 移动 和 中 国联 通 的 2G 网 络 制式 都 是 GSM .其 手机 网 络 制 式 图 标 有 两 种 ,分别 是 G 
和 下 。G 全 称 为 BGPRS, 俗 称 2.5G, 是 早期 的 无 线 网 络 传输 方式 ,传输 速率 理论 峰值 可 达 
114kbps(14. 25kB/s); E 全称 为 EDGE. 俗 称 2.75G, 是 目前 比较 主流 的 GSM 无 线 网 络 传 
输 方式 ,传输 速率 理论 峰值 可 达 384kbps(48kB/s)。 

中 国电 信 的 2G 制式 是 CDMA, 其 手机 网 络 制式 图 标 "1X”, 全 称 为 CDMA 1X, 是 早期 
的 CDMA 无 线 网 络 传输 方式 ,传输 速率 理论 峰值 可 达 153. 6kbps(19. 2kB/s) 。 

第 二 代 移 动 通信 系统 主要 采用 时 分 多 址 (TDMA) 的 数字 调制 方式 ,克服 了 模拟 移动 通 
信 系 统 的 弱点 ,提高 了 系统 容量 ,并 采用 独立 信道 传送 信 令 ,使 系统 性 能 大 大 改善 ,话音 质 
量 、 保 密 性 得 到 了 很 大 提高 ,并 可 进行 省 内 ` 省 际 自 动漫 游 。 然 而 由 于 第 二 代数 字 移动 通信 
系统 带宽 有 限 ,限制 了 数据 业务 的 应 用 ,也 无 法 实现 移动 的 多 媒体 业务 ,各国 第 二 代数 字 移 
动 通信 系统 标准 不 统一 ,无 法 进行 全 球 漫 游 ,2G 的 GSM 信号 覆盖 盲区 较 多 ,一 般 高 楼 、 偏 
远 地 方 会 信号 较 差 ,需要 加 装 手机 信号 放大 器 来 解决 。 

3. 3G 

3G 是 指 将 无 线 通信 与 国际 互联 网 等 多 媒体 通信 结合 的 新 一 代 移动 通信 系统 ,也 称 第 三 
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代 移 动 通信 技术 ,能够 为 用 户 提供 大 范围 的 语音 呼叫 、 移 动 互联 网 访问 、 视 频 通 话 以 及 无 线 
多 媒体 等 业务 。 

CDMA(Code Division Multiple Access, 码 分 多 址 ) 是 第 三 代 移 动 通信 系统 的 技术 基础 。 
CDMA 系统 以 其 频率 规划 简单 .系统 容量 大 、 频 率 复 用 系数 高 . 抗 多 径 能 力 强 .通信 质量 好 、 
软 容量 、 软 切换 等 特点 显示 出 巨大 的 发 展 潜力 。 目 前 国际 电信 联盟 认可 的 主流 3G 标准 主 
要 有 3 个 ,分 别 是 美国 CDMA2000、 欧 洲 WCDMA 和 中 国 TD-SCDMA。 中 国境 内 三 家 全 
业务 电信 运营 商 均 已 开展 3G 业务 ,其 中 : 

中 国 移动 的 3G 网 络 制式 采用 TD-SCDMA ,目前 全 球 范围 内 只 有 其 一 家 在 使 用 。 其 手 
机 网 络 制式 图 标 有 两 种 ,分 别 是 TT 和 互 。T 全 称 TD-SCDMA ,俗称 3G, 是 具有 国家 自主 知 
识 产权 的 技术 ,目前 尚 处 于 起 步 阶段 ,传输 速率 理论 峰值 可 达 3025. 6kbps(378. 2kB/s); H 
全 称 HSPA ,分 为 HSDPA 和 HSUPA 两 种 ,俗称 3. 5G, 基 于 TD-SCDMA 技术 ,传输 速率 
理论 峰值 可 达 96 000kbps(12MB/s) 。 

中 国联 通 的 3G 网 络 制式 采用 WCDMA ,是 目前 全 球 范 围 内 应 用 最 广 的 3G 制式 ,超过 
80% 的 运营 商 的 3G 网 络 选择 WCDMA 制式 。 其 手机 网 络 制式 图 标 为 本, 全 称 HSPA, 分 
为 HSDPA 和 HSUPA 两 种 ,俗称 3G, 基 于 WCDMA 技术 ,传输 速率 理论 峰值 可 达 
72 000kbps(9MB/s) 。 

中 国电 信 的 3G 网 络 制式 采用 CDMA2000 ,在 美洲 比较 受 欢 迎 。 其 手机 网 络 制式 图 标 
为 "3G”, 全 称 为 CDMA 2000, 是 基于 EVDO 制式 的 数据 传输 模式 ,是 比较 主流 的 无 线 网 络 
传输 方式 ,传输 速率 理论 峰值 可 达 3. 1Mbps(387. 5KB/s)。 

4 第 四 代 移 动 通信 技术 (4G 

随 着 数据 通信 与 多 媒体 业务 需求 的 发 展 ,为 适应 移动 数据 、 移 动 计算 以 及 移动 多 媒体 运 
作 的 需要 ,第 四 代 移 动 通信 技术 开始 兴起 , 即 4G。 

4G 被 认为 是 基于 IP 协议 的 高 速 蜂窝 移动 网 ,是 集 3G 与 WLAN 于 一 体 , 并 能 够 快速 
高 质量 的 传输 数据 .音频 .视频 和 图 像 等 。 根 据 国 际 电信 联盟 IMT-Advanced(International 
Mobile Telecommunications-Advanced) 的 要 求 ,4G 标准 的 移动 状态 数据 传输 率 应 高 于 
100Mbps ,静止 状态 数据 传输 率 应 高 于 1Gbps, 能 够 提供 全 面 基于 IP 的 移动 宽带 接 入 解决 
方案 ,满足 几乎 所 有 用 户 对 于 无 线 服务 的 要 求 。 目 前 ,ITU 已 经 将 LTE .HSPA 十 、WiMax 
正式 纳入 4G 标准 .加 上 之 前 就 已 经 确定 的 LTE-Advanced 和 WirelessMAN-Advanced 两 
种 标准 ,4G 标准 已 经 达到 了 5 种 。 

LTE 技术 包括 FEDD-LTE 和 TD-LTE 两 种 制式 ,根据 4G 牌照 发 布 的 规定 ,目前 我 国 
三 家 运营 商 中 国 移动 .中国 联通 和 中 国电 信 , 都 拿 到 了 TD-LTE 制式 的 4G 牌照 。4G 系统 
能 够 以 100 一 150Mbps 的 速度 下 载 ,不 同 的 运营 商 采用 不 同 的 4G 技术 ,速度 通常 与 3G 相 
比 快 20~30 倍 。 现 在 4G 通信 已 经 逐步 普及 ,2G 、3G 技术 逐步 被 淘汰 。 
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4.1.8 无 线 网 络 


1. 无 线 网 络 的 分 类 

无 线 网 络 按照 覆盖 区 域 大 小 .广义 上 分 为 无 线 广域网 WWAN 和 无 线 局 域 网 WLAN， 
狭义 上 可 以 分 为 无 线 广域网 无线 局 域 网 以 及 无 线 城 域 网 WMAN 和 无 线 个 人 局 域 网 
WPAN。 

1) 无 线 广域网 WWAN 

无 线 广 域 网 是 基于 移动 通信 网络 ,由 电信 运营 商 (如 中 国 移动 、 中 国联 通 等 ) 运 营 , 覆 盖 
整个 国家 的 网 络 ,范围 相当 广泛 ,但 是 传输 率 偏 低 ; 目前 无 线 广 域 网 接 入 技术 有 GPRS、 
CDMA、WCDMA 数字 直播 卫星 技术 等 。 

2) 无 线 局 域 网 WLAN 

无 线 局 域 网 能 提供 强大 的 无 线 网 络 连 接 能 力 , 范 围 可 涵盖 无 线 热点 到 客户 端 100m 左 
右 的 距离 。 

3) 无 线 城 域 网 WMAN 

无 线 城 域 网 技术 使 用 户 可 以 在 主要 城市 区 域 的 多 个 场所 直接 创建 无 线 连 接 ( 例 如 大 学 
校园 的 办 公 楼 之 间 ) ,这 样 就 不 必 花 费 高 昂 的 费用 去 铺设 光缆 .电缆 ; 在 无 线 城 域 网 中 ,大 多 
采用 固定 无 线 宽 带 接 人 技术 为 广大 的 用 户 提供 服务 。 

4) 无 线 个 人 局 域 网 WPAN 

无 线 个 人 局 域 网 指 的 是 能 在 便携 式 设备 和 通信 设备 之 间 进 行 短 距 离 连 接 的 网 络 。 例 如 
现在 主流 手机 都 设 有 便携 式 网 络 ,俗称 手 机 热点 ,主要 有 WirFi 红 外、 蓝牙 技术 等 。WPAN 
的 覆盖 范围 一 般 在 10m 半径 以 内 , 比 无 线 局 域 网 要 小 ,在 众多 无 线 网 络 技术 中 ,蓝牙 技术 在 
这 个 领域 具有 很 强 的 优势 。 

2. 无 线 网 络 周边 的 设备 

1) 无 线 接 入 点 

无 线 接 入 点 简称 AP,AP 所 起 的 作用 就 是 给 无 线 网 卡 提供 网 络 信 号 。 

2) 无 线路 由 器 

无 线路 由 器 是 带 有 无 线 发 射 功能 的 路 由 器 。 常 见 的 路 由 器 品牌 有 TP-LINK、Tenda、 
Huawei、 中 兴 等 。 此 外 ,无 线路 由 器 功能 越 来 越 多 ,具备 一 些 MAC 地 址 过 滤 、NAT 防火 
墙 .DHCP 等 服务 ,这 些 设备 的 出 现 将 更 加 有 利于 无 线 网 络 的 推广 和 普及 。 

3) 无 线 网 卡 

无 线 网 卡 是 一 张 安装 在 计算 机 上 的 接口 卡 ,与 显卡 、 声 卡 的 地 位 一 样 ,主要 是 用 来 扩充 
计算 机 上 原本 没有 的 传输 接口 或 功能 。 无 线 网 卡 可 以 内 置 在 设备 中 ,外 置 的 无 线 网 卡 , 根 据 
接口 不 同 可 以 分 为 PCMCIA 、PCI、USB 三 种 无 线 网 卡 。 现 在 大 多 数 移动 设备 .包括 笔记 本 
计算 机 ,都 内 置 了 无 线 网 卡 ,外 置 接口 形式 的 无 线 网 卡 越 来 越 少 。 


第 4 章 
4) 无 线 网 桥 


无 线 网 桥 ( 如 图 4.9 所 示 ) 是 为 使 用 无 线 进行 远 距离 点 对 点 网 间 连 接 而 设计 的 设备 。 它 
可 用 于 固定 数字 设备 与 其 他 固定 数字 设备 之 间 的 远 距离 (可 达 20km) 和 高 速 (可 
11Mbps) 的 本 
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I 无 线 组 网 。 网 桥 在 边境 地 区 用 于 网 络 赌博 的 跨 境 数据 传输 比较 普遍 。 
5) 天 线 

无 线 网 络 的 相互 连接 需要 配合 使 用 天 线 。 根 据 功 能 ,天 线 可 分 定向 天 线 \ 全 向 天 线 、 扇 
形 天 线 、 平 板 天 线 等 ,如 图 4. 9 所 示 


JJ 地 上 


无 线路 由 器 


上 直 


网 桥 


无 线 网 卡 


定向 天 线 全 向 天 线 


图 4. 9 无 线 网 络 相关 设备 
3. 无 线 网 络 的 组 建 
1) 网 桥 连 接 型 


不 同 局 域 网 之 间 相 互 连 接 时 ,采取 有 线 方式 不 方便 ,可 以 利用 无 线 网 桥 实 现 两 者 的 点 对 
点 连接 ,如 图 4. 10 所 示 。 


网 络 A。 、、 Y 


”网 络 B SS SS 
2 ， 
(‘0) 本 


图 4.10 网 桥 连接 型 
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2) 基站 接 入 型 
当 采 用 移动 蜂窝 通信 网 接 入 方式 组 建 无线 局 域 网 时 ,各 客户 端 之 间 的 通信 和 是 通过 基站 
接 入 数据 交 换 方式 来 实现 互联 的 ,如 图 4.11 所 示 。 


”a 有 无 线 发 射 塔 “、、、、 
次 也 


W 


/ \ 
上 《人 (人 《人 (人 ) 《人 
二 7 
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~ NA i 


图 4.11 基站 接 入 型 


3) Hub 接 人 型 
利用 无 线 Hub 可 以 组 建 不 同 网 络 架 构 的 无 线 局 域 网 ,具有 与 有 线 Hub 组 网 方式 相 类 
似 的 优点 。 这 是 无 线 组 网 的 最 普通 形式 ,如 图 4. 12 所 示 。 


Wi 
Qk < 


图 4.12 Hub 接 入 型 


4. WiFi 
Wi-Fi(Wireless Fidelity ,无 线 保 真 ) 是 一 个 基于 IEEE 802. 11 系列 标准 的 无 线 网 络 通 
信 技 术 的 品牌 ,目的 是 改善 基于 IEEE 802. 11 标准 的 无 线 网 络 产品 之 间 的 互通 性 ,由 Wi-Fi 
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联盟 (Wi-Fi Alliance) 所 持 有 ,简单 来 说 ,Wi-Fi 就 是 一 种 无 线 联网 的 技术 。 从 范围 上 说 ， 
Wi-Fi 是 WLAN 的 一 个 标准 ,属于 采用 WLAN 协议 中 的 一 项 新 技术 。Wi-Fi 的 覆盖 范围 
则 可 达 300 英尺 左右 ( 约 合 90m)。 

Wi-Fi 信号 ,基于 2. 4GHz 或 者 5GHz,802. 11 是 IEEEO 最 初 制定 的 一 个 无 线 局 域 网 
标准 ,主要 用 于 解决 办 公 室 局 域 网 和 校园 网 中 用 户 与 用 户 终 端的 无 线 接 入 。 从 1997 年 
IEEE 802. 11 第 一 个 版 本 发 布 至 今 ,经 历 了 众多 版 本 的 改进 升级 ,具体 内 容 如 表 4.3 所 示 。 


表 4.3 IEEE 802. 11 的 发 展 历史 
标准 功 能 


802.11 1997 年 ,原始 标准 (2. 4GHz,2Mbps) 


802.11a |1999 年 ,物理 层 补充 (5GHz,54Mbps) 


802. 11b |1999 年 ,物理 层 补充 (2. 4GHz,11Mbps) 


802. 11lc | 符合 802. 1D 的 媒体 接 入 控制 层 (MAC) 桥 接 


802. 11d | 根据 各 国 无 线 电 规定 做 的 调整 


802. 1le | 对 服务 等 级 (QoS) 的 支持 


802. 11f | 基站 的 互联 ,2006 年 2 月 被 IEEE 批准 撤销 


802.11g |2003 年 ,物理 层 补充 (2. 4GHz,54Mbps) 


802. 11h | 2004 年 ,无 线 覆盖 半径 的 调整 ,室内 和 室外 信道 (5GHz) 


2004 年 ,安全 和 鉴 权 方面 的 补充 ,加 入 全 新 CCMP 协议 ,将 支持 802. 11i 最 终 版 协议 的 通信 设 


802.11i | 备 称 为 支持 WPA2 


2009 年 9 月 通过 正式 标准 , WLAN 的 传输 速率 由 802. 11a 及 802. 11g 提供 的 54Mbps、 


802. 11n 
108Mbps ,提高 达 350Mbps 甚至 高 达 475Mbps 


802. 11ac | 支持 5GHz 和 2. 4GHz, 传 输 速度 分 别 是 5GHz 的 900Mbps、2.4GHz 的 400Mbps 


802.11a 工作 在 5. 4GHz 频段 .最 高 速率 54Mbps、 主 要 用 在 远 距离 的 无 线 连 接 ; 
802. 11b 工作 在 2. 4GHz 频段 .最 高 速率 11Mbps、 逐 步 被 淘汰 ; 802. 11g 工作 在 2. 4GHz 频 
段 . 最 高 速率 54Mbps、802. 11n 是 最 新 无 线 标准 、 最 高 速率 能 到 300Mbps。 无 线 网 卡 一 般 都 
能 支持 上 述 主流 制式 的 Wi-Fi 标准 。 

5. 无 线 网 络 的 加 密 

常见 的 无 线 网 络 加 密 方式 有 WEP、WAP、WAP?2 等 加 密 方式 ,一 般 目前 市 面 上 的 无 线 
路 由 器 中 都 可 以 选择 这 些 加 密 方 式 。 

1) WEP 

WEP(Wired Equivalent Privacy, 有 线 等 效 加 密 ) 协 议 用 来 保护 无 线 局 域 网 中 的 授权 用 
户 所 交换 的 数据 的 机 密 性 ,防止 这 些 数据 被 随机 欠 听 。WEP 使 用 RC4 加 密 算法 来 保证 数 
据 的 保密 性 ,通过 共享 密 钥 来 实现 认证 。 虽然 WEP 在 一 定 程度 上 提高 了 网 络 安全 性 ,但 是 
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受到 RC4 加 密 算 法 过 短 的 初始 向 量 和 静态 配置 密 钥 的 限制 ,已 在 2003 年 被 Wi-Fi 
Protected Access(WPA) 淘 汰 。WEP 加 密 方式 如 今 已 经 很 少 使 用 。 

2) WPA/WPA2 

WPA(Wi-Fi Protected Access,Wi-Fi 网络 安全 接 人 ) 是 一 种 WLAN 安全 性 增强 解决 
方案 ,可 大 大 提升 WLAN 系统 的 数据 保护 和 访问 控制 水 平 。 相 比 于 WEP,WPA/WPA2 是 
一 种 更 强壮 的 加 密 算 法 ,挑选 这 种 安全 类 型 ,路 由 器 将 选用 Radius 服务 器 进行 身份 认证 并 
得 到 密 钥 的 WPA 或 WPA2 安全 形式 , 即 在 WPA 的 设计 中 要 用 到 一 个 802. 1X 认证 服务 
器 来 散布 不 同 的 钥匙 给 各 个 用 户 。 用 802. 1X 认证 的 版 本 叫 作 WPA 企业 版 或 WPA2 企 
业 版 。 

普通 用 户 可 以 设置 WPA 工作 在 Pre-Shared Key(PSK) 模 式 , 即 让 每 个 用 户 都 用 同一 
个 密 钥 。Wi-Fi 联盟 把 这 个 使 用 Pre-Shared Key 的 版 本 叫 作 WPA 个 人 版 或 WPA2 个 人 
版 。 对 于 普通 家 庭 用 户 和 小 型 企业 用 户 ,推荐 使 用 WPA-PSK/WPA2-PSK 安全 类 型 ,相对 
于 WPA 企业 版 , 它 的 设置 相对 简单 ,安全 性 可 以 得 到 保障 。 

了 OP 

TKIP 是 一 种 加 密 方法 ,用 于 增强 pre-RSN 硬件 上 的 WEP 协议 加 密 的 安全 性 。 首 先 ， 
TKIP 通过 增长 算法 的 IV(Initial Vector, 初 始 向 量 ) 长 度 提高 了 WEP 加 密 的 安全 性 ; 其 
次 ,TKIP 支持 密 钥 的 动态 协商 ,解决 了 WEP 加 密 需 要 静态 配置 密 钥 的 限制 ; 另外 ,TKIP 
还 支持 了 MIC 认证 和 Countermeasure 功能 ,其 加 密 安 全 性 远 远 高 于 WEP。 


4.1.9 物 联 网 


互联 网 的 发 展 ,使 得 社会 的 各 个 节点 都 可 以 联网 ,进行 数据 沟通 。 新 的 物 联网 技术 , 简 
单 的 理解 就 是 把 网 络 技 术 运用 于 万 物 , 组 成 “ 物 联 网 ”"。 物 联网 技术 的 核心 和 基础 仍然 是 互 
联网 技术 ,是 在 互联 网 技术 的 基础 上 将 用 户 端 延伸 和 扩展 到 任何 物品 之 上 ,在 其 间 进行 信息 
交换 和 通讯 。 因 此 ,可 以 这 样 定义 物 联网 技术 : 通过 射频 识别 (RFID)、 红 外 感应 器 、 激 光 扫 
描 器 等 信息 传 感 设 备 ,按照 约定 的 协议 ,将 任何 物品 与 互联 网 相连 接 , 进 行 信息 交换 和 通讯 ， 
以 实现 智能 化 识别 .定位 .追踪 ,监控 和 管理 的 一 种 网 络 。 

1. 蓝牙 

蓝牙 (Bluetooth) 是 一 种 支持 设备 短 距 离 通信 (一 般 10m 内 ) 的 无 线 电 技术 标准 ,最 初 由 
电信 巨头 爱立信 公司 于 1994 年 提出 ,可 实现 移动 电话 `.PDA、 无 线 耳 机 、 笔 记 本 电脑 `. 相 关 
外 设 等 众多 设备 之 间 进 行 无 线 信息 交换 。 利 用 蓝牙 技术 .能够 有 效 地 建立 移动 通信 终端 设 
备 之 间 的 通信 。 很 多 移动 设备 上 都 安装 有 蓝牙 模块 ,能 够 实现 蓝牙 数据 传输 。 

蓝牙 采用 分 散 式 网 络 结构 以 及 快 跳 频 和 短 包 技术 ,采用 时 分 双 工 传输 方案 实现 全 双 工 
通信 ,支持 点 对 点 及 点 对 多 点 通信 .使 用 2.4 一 2. 485GHz ISM 波段 的 UHF 无 线 电波 .数据 
速率 为 1Mbps。 
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2. RFID 

RFID(Radio Frequency Identification, 射 频 识别 ) 是 一 种 通信 技术 ,作为 构建 “ 物 联网 ” 
的 关键 技术 近年 来 受到 大 众 的 普遍 关注 。RFID 可 通过 无 线 电信 号 识别 特定 目标 并 读 写 相 
关 数据 ,而 无 需 识 别 系统 便 可 与 特定 目标 之 间 建 立 机 械 或 光学 接触 ,因此 又 被 称 作 无 线 射频 
识别 技术 。 

RFID 技术 是 一 种 自动 识别 技术 ,使 用 专用 的 RFID 读 写 器 及 专门 的 可 附着 于 目标 物 的 
RFID 标签 ,利用 频率 信号 将 信息 由 RFID 标签 传送 至 RFID 读 写 器 。 射 频 标签 是 产品 电子 
代码 (EPC) 的 物理 载体 ,附着 于 可 跟踪 的 物品 上 ,可 全 球 流通 并 对 其 进行 识别 和 读 写 。 美 国 
国防 部 规定 2005 年 1 月 1 日 以 后 ,所 有 军需 物资 都 要 使 用 RFID 标签 。RFID 系统 一 般 都 
在 后 台 保存 有 识别 记录 和 轨迹 。 

3. NFC 

NFC(Near Field Communication, 近 场 通信 ) 是 一 种 短 距 高 频 的 无 线 电 技 术 , 由 飞利浦 半 导 
体 (现在 的 恩 智 浦 半导体 公司 了) .诺基亚 和 索尼 公司 共同 研制 开发 。NFC 技术 由 RFID 及 互 
联 互通 技术 整合 演变 而 来 ,在 单一 芯片 上 结合 感应 式 读 卡 器 ,感应 式 卡片 和 点 对 点 的 功能 ,在 
短 距 离 内 (20cm) 与 兼容 设备 进行 识别 和 数据 交换 ,运行 于 13. 56MHz 频率 之 上 。 

NFC 与 RFID 在 物理 层 有 相似 之 处 ,都 是 通过 频谱 中 无 线 频率 部 分 的 电磁 感应 耦合 方 
式 传递 ,但 其 本 身 与 RFID 是 两 个 领域 的 技术 ,二 者 之 间 存 在 很 大 区 别 。 

首先 ,RFID 仅仅 是 一 种 通过 无 线 对 标签 进行 识别 的 技术 ,而 NFC 则 是 一 种 无 线 通 信 
方式 ,强调 的 是 信息 交互 。NFC 是 RFID 的 演进 版 本 ,内 置 NFC 芯片 的 手机 构成 RFID 模 
块 的 一 部 分 , 既 可 以 当 作 RFID 无 源 标 签 使 用 进行 支付 费用 ,也 可 以 当 作 RFID 读 写 器 ,用 
于 数据 交换 与 采集 ,还 可 以 进行 NFC 手机 之 间 的 近 距 离 私密 数据 通信 。 

其 次 ,NFC 的 传输 范围 要 比 RFID 小 很 多 。RFID 的 传输 范围 可 以 达到 几米 甚至 几 十 
米 ,但 由 于 采取 了 独特 的 信号 衰减 技术 ,NFC 相对 于 RFID 具有 距离 近 、 带 宽 高 .能 耗 低 等 
特点 。 
青 次 ,NFC 和 RFID 的 应 用 方向 不 同 。NFC 看 重 的 是 针对 于 消费 类 电子 设备 的 相互 通 
信和 ,而 有 源 RFID 则 更 侧重 长 距离 识别 。 

需要 说 明 的 是 ,蓝牙 .RFID、NFC 同 为 非 接触 传输 方式 ,它们 具有 各 自 不 同 的 技术 特 
让 ,可 以 用 于 各 种 不 同 的 目的 ,其 技术 本 身 没有 优 劣 差别 。 


4.2 网 络 设备 概述 


不 论 是 局 域 网 还 是 广域网 ,在 物理 上 通常 都 是 由 网 卡 、 双 绞 线 、 集 线 器 、 交 换 机 、 路 由 器 
等 网 络 连接 设备 和 传输 介质 组 成 的 。 网 络 设备 是 连接 到 网 络 中 的 物理 实体 ,基本 的 网 络 设 
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备 主要 有 计算 机 (包括 个 人 计算 机 或 服务 器 ) 、 集 线 器 交换 机 、 路 由 器 网关、 防火 墙 等 。 
目前 市 场 中 有 着 数量 众多 的 网 络 设备 提供 商 ,常见 的 厂商 包括 思科 (CISCO) 、 华 三 通信 
(H3C) 、 华 为 、 锐 捷 、. 中 兴 等 。 思 科 是 网 络 通信 产品 的 领导 者 和 标准 制定 者 ,占据 了 全 球 
60% 以 上 的 网 络 设备 份额 , 占 全 球 第 一 。 斯 诺 登 事件 后 ,网 络 交 换 设备 的 国产 化 工作 逐步 推 
进 。 在 网 络 犯 罪 侦查 工作 中 ,可 能 会 遇 到 上 述 的 多 种 网 络 设备 ,侦查 人 员 需 要 能 够 识别 。 下 
面 介绍 一 些 常 见 的 网 络 设备 。 
4.2.1 交换 机 
交换 机 在 网 络 中 用 于 完成 与 它 相 连 的 线路 之 间 的 数据 单元 的 交换 ,是 一 种 基于 MAC 
地 址 (网 卡 的 硬件 地 址 ) 识 别 ,完成 封装 .转发 数据 帧 功能 的 网 络 设备 。 利 用 交换 机 连接 的 局 
域 网 称 作 交换 式 局 域 网 ,交换 机 通过 查找 内 部 MAC 地 址 表 中 的 目标 地 址 ,为 每 个 用 户 提 供 
专用 的 信息 通道 ,把 数据 直接 发 送 到 指定 端口 ,保证 各 个 源 端口 与 各 自 目的 端口 之 间 可 同时 
进行 通信 而 不 发 生 冲突 。 交 换 机 设备 的 端口 数量 有 8 口 .16 口 .24 口 .48 口 等 ,常见 交换 机 


如 图 4. 13 所 示 。 


图 4.13 企业 级 交换 机 


4.2.2 路 由 器 


路 由 器 是 工作 在 OSI 参考 模型 第 三 层 一 一 网 络 层 的 数据 包 转 发 设备 ,用 于 连接 多 个 逻 
辑 上 分 开 的 网 络 。 路 由 器 具有 判断 网 络 地 址 和 选择 IP 路 径 的 功能 , 它 能 在 多 网 络 互联 环境 
中 ,建立 灵活 的 连接 ,可 用 完全 不 同 的 数据 分 组 和 介质 访问 方法 连接 各 种 子 网 ,是 互联 网 的 
主要 节点 设备 。 作 为 不 同 网 络 之 间 互 相连 接 的 枢纽 :路 由 器 系统 构成 了 基于 TCP/IP 的 国 
际 互联 网 络 Internet 的 骨架 , 它 的 处 理 速度 是 网 络 通信 的 主要 瓶颈 之 一 , 它 的 可 靠 性 则 直接 
影响 着 网 络 互 连 的 质量 ,企业 级 路 由 器 形态 如 图 4. 14 所 示 。 


图 4.14 企业 级 路 由 器 
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路 由 器 可 以 支持 多 种 协议 (如 TCP/IP、IPX/SPX、AppleTalk 等 协议 ), 但 在 我 国 绝 大 
多 数 路 由 器 运行 TCP/IP 协议 。 路 由 器 根据 收 到 数据 包 中 的 网 络 层 地 址 以 及 路 由 器 内 部 维 
护 的 路 由 表决 定 输出 端口 以 及 下 一 跳 地 址 ,并 重 写 链 路 层 数 据 包头 实现 转发 数据 包 。 路 由 
器 通过 动态 维护 路 由 表 来 反映 当前 的 网 络 拓扑 ,并 通过 与 网 络 上 其 他 路 由 器 交换 路 由 和 链 
路 信息 来 维护 路 由 表 。 按 照 路 由 器 的 使 用 级 别 分 类 ,可 分 为 接 人 级 路 由 器 、 企 业 级 路 由 器 和 
骨干 级 路 由 器 。 企 业 级 路 由 器 的 侦查 重点 是 检查 路 由 表 。 按 照 路 由 器 的 传输 方式 分 类 ,可 
分 为 有 线路 由 器 和 无 线路 由 器 。 

按照 路 由 器 操作 系统 的 功能 分 类 ,可 分 为 传统 路 由 器 和 智能 路 由 器 。 传 统 路 由 器 是 指 
以 提供 基本 的 网 络 功能 为 主 的 路 由 器 产品 ,传统 路 由 器 的 操作 系统 主要 有 两 类 : 一 是 由 芯 
片 厂商 提供 的 开发 套件 SDK; 二 是 实时 操作 系统 ,包含 由 美国 风 河 公司 开发 的 VxWorks 
操作 系统 ,RedHat 提供 的 eCos 操作 系统 等 ,这 两 类 操作 系统 是 目前 传统 路 由 器 市 场 的 主 
流产 品 。 有 别 于 传统 路 由 器 ,智能 路 由 器 提供 了 丰富 的 应 用 功能 扩展 ,内 置 离线 下 载 ,内 网 
检测 .视频 加 速 等 功能 ,用 户 可 以 根据 需求 下 载 扩展 应 用 ,国内 常见 的 厂商 包括 极 路 由 、 小 米 
路 由 器 等 ,智能 路 由 器 系统 大 多 由 开源 系统 发 展 而 来 ,包括 OpenWRT、Tomato、DD-WRT 
等 几 款 操作 系统 ,国内 的 智能 路 由 器 系统 大 都 由 OpenWRT 二 次 开发 而 成 。 


4.2.3 入 侵 防 御 设 备 


1. 防火 墙 

防火 墙 (Firewall) 是 一 个 由 软件 和 硬件 设备 组 合 而 成 ,在 内 部 网 和 外 部 网 之 间 、 专 用 网 
与 公共 网 之 间 建 立 安全 屏障 ,从 而 保护 内 部 网 免 受 非法 用 户 侵入 的 网 络 防 护 设备 。 防 火 墙 
是 一 种 隔离 技术 ,所 有 流入 流出 的 网 络 通 信和 数据 包 均 要 经 过 防火 墙 , 它 可 以 是 一 种 硬件 、 
固件 或 者 软件 ,例如 专用 防火 墙 设备 就 是 硬件 形式 的 防火 墙 , 包 过 滤 路 由 器 是 嵌 有 防火 墙 固 
件 的 路 由 器 ,而 代理 服务 器 等 软件 则 是 软件 形式 的 防火 墙 。 防 火 墙 都 具有 上 日志, 而 且 防 火 墙 
的 安全 强度 较 高 ,很 难 被 入 侵 , 因 此 其 日 志 一 般 不 会 被 清除 。 在 危害 计算 机 犯罪 案件 侦查 
中 ,不 但 要 检查 被 侵入 的 设备 日 志 , 更 要 着 重 检查 防火 墙 的 日 志 。 

防火 墙 的 显著 特性 体现 在 它 具 有 单 向 导 通 性 。 按 照 防火 墙 最 初 的 设计 思想 ,该 特性 主 
要 体现 在 它 对 内 部 网 络 总 是 信任 的 ,而 对 外 部 网 络 却 总 是 不 信任 ,所 以 最 初 的 防火 墙 是 只 对 
外 部 进来 的 通信 进行 过 滤 , 而 对 内 部 网 络 用 户 发 出 的 通信 不 作 限 制 ; 如 今 的 防火 墙 在 过 滤 
机 制 上 有 所 改变 ,不 仅 对 外 部 网 络 发 出 的 通信 连接 要 进行 过 滤 ,对 内 部 网 络 用 户 发 出 的 部 分 
连接 请 求 和 数据 包 同 样 需要 过 滤 ,但 防火 墙 仍 只 对 符合 安全 策略 的 通信 信任 ,因此 体现 的 也 
是 它 的 “ 单 向 导 通 ”性 。 

需要 注意 的 是 ,防火 墙 虽 可 以 根据 IP 地 址 或 服务 端口 过 滤 数 据 包 , 但 它 对 于 利用 合法 
IP 地 址 和 端口 从 事 的 破坏 活动 则 无 能 为 力 。 因 为 防火 墙 极 少 深入 数据 包 检 查 内 容 , 即 使 使 
用 了 DPI 技术 (Deep Packet Inspection ,深度 包 检 测 技术 ) ,其 本 身 也 面临 着 许多 挑战 。 
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2. 人 侵 检测 系统 
入 侵 检 测 系统 (Intrusion Detection Systems,IDS) 是 依照 一 定 的 安全 策略 ,通过 软 、 硬 
件 , 对 网 络 , 系 统 的 运行 状况 进行 监视 , 尽 可 能 发 现 各 种 攻击 企图 、 攻 击 行为 或 者 攻击 结果 ， 


以 保证 网 络 系统 资源 的 机 密 性 、 完 整 性 和 可 用 性 。 

IDS 是 一 种 “窥探 设备 ”, 它 在 网 络 上 并 不 负责 物理 网 段 的 连接 或 数据 流量 的 转发 ,而 只 
是 在 网 络 上 被 动 地 ,无 声息 地 收集 它 所 关心 的 报 文 。IDS 对 所 收集 报 文 的 流量 统计 特征 值 
进行 相应 的 提取 ,并 与 内 署 的 入侵 知识 库 进 行 智 能 分 析 比 对 和 匹配 。 根 据 事 先 预 设 的 阔 值 ， 
匹配 耦合 度 较 高 的 报 文 流量 将 被 认为 是 进攻 ,IDS 会 根据 相应 的 配置 进行 报警 ,甚至 进行 有 
限度 的 反击 。IDS 在 交换 式 网 络 中 位 于 服务 器 区 域 的 交换 机 上 ,一般 选 择 在 Internet 接 人 
路 由 器 之 后 的 第 一 台 交 换 机 上 ,如 图 4.15 所 示 。 


图 4.15 IDS 在 网 络 中 的 位 置 


3. 人 侵 防御 系统 

入 侵 防 御 系 统 (Intrusion Prevention System,IPS) 是 指 能 够 监视 网 络 或 网 络 设 备 的 网 
络 资 料 传输 行为 的 计算 机 网 络 安全 设备 以 及 计算 机 网 络 安全 设施 ,能够 即时 地 中 断 、 调 整 或 
隔离 一 些 不 正常 或 者 具有 伤害 性 的 网 络 资料 传输 行为 ,是 对 防 病毒 软件 和 防火 墙 的 补充 。 
入 侵 防 御 系 统 专门 深入 网 络 数据 内 部 ,查找 它 所 认识 的 攻击 代码 特征 ,过 滤 有 害 数据 流 , 丢 
弃 有 害 数据 包 , 并 进行 记载 。 此 外 ,大 多 数 入 侵 防 御 系统 还 通过 综合 分 析 应 用 程序 或 网 络 传 
输 中 的 异常 情况 ,来 辅助 识别 人 侵 和 攻击 ,例如 ,用 户 或 用 户 程序 违反 安全 条 例 .数据 包 在 不 
应 该 出 现 的 时 段 出 现 , 作 业 系 统 或 应 用 程序 的 弱点 正在 被 利用 等 。 

人 侵 防 御 系 统 按 其 用 途 可 以 划分 为 单机 入 侵 防 御 系 统 (Hostbased Intrusion 
Prevension System, HIPS) 和 网 络 人 侵 防 御 系 统 (Network Intrusion Prevension System， 
NIPS) 两 种 类 型 。IPS 设备 日 志 也 是 和 人 侵 案 件 中 侦查 取证 的 重点 。 


4.2.4 服务 器 
服务 器 是 指 网 络 环境 中 能 为 网 络 用 户 提供 集中 计算 、 信 息 发 表 、 数 据 管理 等 服务 的 高 性 


第 4 章 网 络 犯 


EE 侦查 基础 知识 


能 计算 机 ,由 于 需要 提供 高 可 靠 的 服务 ,因此 在 处 理 能 力 、 稳 定性 、 可 靠 性 、 安 全 性 、 可 扩展 


性 、 可 管理 性 等 方面 要 求 较 高 .具有 高 速度 的 运算 能 力 、 长 时 间 的 可 靠 运 行 利 


强大 的 外 部 数 


据 吞 吐 能 力 。 在 CPU ,芯片 组 内存、 磁盘 系统 等 硬件 组 成 方面 也 不 同 于 普通 PC, 服 务 器 大 
多 采用 部 件 元 余 技 术 , 具 有 多 块 硬盘 ,组 成 磁盘 阵列 (RAID)。 以 提供 的 服务 区 分 ,服务 器 


可 以 分 为 网 络 服务 器 (DNS.DHCP) .打印 服务 器 、 终 端 服务 器 、 磁 盘 服务 器 、 
件 服务 器 等 。 


g 件 服务 器 \ 文 


从 服务 器 外 形 结构 区 分 ,主要 分 为 塔 式 . 机 架 和 刀片 三 种 服务 器 类 型 ,如 
机 架 式 是 按照 UDCGIU=4.445cm) 衡 量 尺寸 。 例 如 一 般 的 服务 器 为 1U、2U、 


图 4. 16 所 示 。 
4U。 


图 4.16 从 左 至 右 : 机 架 式 、 塔 式 、 刀 片 式 服务 器 


4.2.5 网 卡 


网 卡 (Network Interface Card, 网 络 接口 卡 ) 是 计算 机 网 络 中 最 重要 的 连接 设备 ,每 台 
联网 的 主机 都 需要 通过 网 卡 才 能 接 入 网 络 。 在 OSI 参考 模型 中 ,网 卡 的 功能 属性 由 数据 链 


路 层 的 MAC 子 层 来 确定 , 它 是 局 域 网 中 连接 计算 机 和 传输 介质 的 接口 。 网 


卡 的 工 组 是 双 


重 的 ,一 方面 它 负责 接收 网 络 上 传 过 来 的 数据 ,并 将 数据 通过 计算 机 主板 上 的 总 线 传送 给 本 


地 计算 机 ; 另 一 方面 它 将 本 地 计算 机 上 的 数据 封装 成 数据 帧 ,进而 转换 成 
网 络 。 


比特 流 后 送 入 


网 卡 由 网 络 接 口 控制 器 和 收发 单元 两 大 部 分 组 成 。 网 络 接口 控制 器 完成 MAC 子 层 协 
议 与 LLC 子 层 及 其 下 层 收发 器 的 接口 控制 ; 接收 单元 和 发 送 单元 (统称 为 收发 单元 ) 完 成 


数据 的 发 送 、 接 收 及 信道 监测 等 功能 ,网 卡 形态 如 图 4.17 所 示 。 


网 卡 根据 速率 区 分 ,可 以 分 为 百 兆 、 千 兆 \` 万 兆 网 卡 ; 按照 总 线 类 型 区 分 ,可 以 分 为 PCI 


网 卡 .USB 网 卡 ; 按照 网 络 类 型 区 分 ,可 以 分 为 有 线 网 卡 、 无 线 网 卡 。 


除了 传输 数据 的 功能 ,网 卡 还 要 向 网 络 中 的 其 他 设备 通报 自己 的 地 址 ,该 地 址 即 为 网 卡 


外 是 unit 的 缩 上 略语 ,由 美国 电子 工业 协会 (EIA) 制 定 。 
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图 4.17 万 兆 网 卡 
的 MAC 地 址 。 为 了 保证 网 络 中 数据 的 正确 传输 ,要 求 网 络 中 每 个 设备 的 MAC 地 址 必须 
是 唯一 的 。 网 卡 的 MAC 地 址 共 48 位 , 占 6B, 由 12 位 十 六 进 制 的 数字 组 成 来 表示 , 且 被 分 
为 两 部 分 : 前 3B 是 厂商 的 标识 ,由 IEEE 统一 分 配 ; 后 3B 由 厂商 自行 分 配 。 


分 对 于 常见 网 卡 的 生产 厂商 ,可 以 通过 IEEE 的 在 线 MAC 地 址 查询 功能 
获知 : https://regauth. standards. ieee. org/standards-ra-web/pub/view. 


html# registries 


工具 使 用 


几 个 著名 厂商 的 MAC 地 址 标识 (前 3 个 字 节 ) 如 表 4.4 所 示 。 
表 4.4 常见 网 卡 生产 厂商 MAC 地 址 标识 


厂商 MAC 地 址 MAC 地 址 
Cisco 00000C 02608C 
Intel 00AAO0 080009 
IBM 08005A 080020 
Shiva 0080D3 Bay Networks 0000A2 


4.3 数据 存储 设备 概述 


4.3.1 存储 技术 
两 种 稳定 状态 又 容易 相互 转换 的 物质 或 元 器 件 都 可 以 用 来 存储 二 进 制 代 码 0 和 1, 这 
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样 的 物质 或 元 器 件 被 称 为 存储 设备 或 记录 介质 。 存 储 设备 不 同 ,存储 信息 的 机 理 也 不 同 。 
存储 设备 存储 了 涉及 犯罪 的 所 有 线索 和 数据 ,因此 网 络 犯罪 侦查 中 ,数据 存储 设备 是 关注 的 
重点 。 

1. 电 存 储 技术 

电 存 储 技术 主要 是 指 半导体 存储 器 (SemiConductor Memory, SCM)。 现 代 的 SCM 采 
用 超大 规模 集成 电路 工艺 制 成 存储 芯片 ,每 个 芯片 中 包含 相当 数量 的 存储 位 元 ,再 由 若干 芯 
片 构成 存储 器 。 

电 存储 器 存储 密度 高 .速度 快 。 在 成 本 降低 的 同时 ,利用 闪存 (FLASH) 技 术 生产 的 U 
盘 和 固态 硬盘 (SSD) 已 成 为 外 部 存储 介质 的 发 展 方向 ,逐渐 挤占 机 械 式 硬 盘 市 场 。 但 同时 ， 
由 于 闪存 生产 厂商 众多 ,使 用 的 协议 和 存储 方式 也 不 太一 致 ,甚至 采用 加 密 技术 ,这 些 都 对 
网 络 犯罪 侦查 提出 了 新 的 挑战 。 

2. 磁 存 储 技术 

磁 存 储 技术 的 工作 原理 是 通过 改变 磁 粒 子 的 极 性 在 磁性 介质 上 记录 数据 。 当 读 取 数据 
,磁头 将 存储 介质 上 的 磁 粒 子 极 性 转换 成 相应 的 电 脉冲 信号 ,并 转换 成 计算 机 可 以 识别 的 
数据 形式 。 进 行 写 操作 的 原理 也 是 如 此 。 

机 械 硬盘 利用 磁 存 储 技术 来 存储 数据 ,又 称 为 磁盘 。 出 于 效率 等 诸多 方面 的 考虑 , 当 利 
用 操作 系统 提供 的 指令 格式 化 或 者 删除 数据 文件 时 , 磁 介 质 上 的 磁 粒 子 极 性 并 不 会 被 清除 ， 
操作 系统 只 是 对 文件 系统 的 部 分 内 容 进 行 了 修改 ,或 者 将 删除 文件 的 相应 段落 标识 进行 了 
出 除 标记 。 操 作 系统 在 处 理 存储 时 的 这 种 设 定 为 进行 数据 恢复 提供 了 可 能 。 


尼 值得 注意 的 是 ,逻辑 恢复 通常 只 能 在 数据 文件 删除 之 后 相应 存储 位 置 没 
(4 有 写 入 新 数据 的 情况 下 进行 。 因 为 一 旦 新 的 数据 写 入 , 磁 粒 子 极 性 将 无 可 挽 


回 地 被 改变 ,从 而 使 得 旧 有 的 数据 真正 意义 上 被 清除 ,也 就 无 法 恢复 了 。 


常识 


3. 光 存 储 技术 

光 存 储 器 是 一 种 采用 光 存 储 技术 存储 信息 的 存储 器 , 它 采 用 聚焦 激光 束 在 化 学 介质 上 
非 接 触 地 记录 高 密度 信息 ,以 介质 材料 光学 特性 (如 反射 率 、 偏 振 方 向 ) 的 变化 来 表示 存储 信 
息 1 和 0 的 变化 。 目 前 主要 的 光 存 储 器 是 光盘 ,通常 一 张 普通 CD 光盘 的 容量 为 750MB ,一 
张 普通 DVD 光盘 的 容量 为 4.7GB, 蓝 光 光 盘 容量 可 达到 45GB 左右 。 

近年 来 ,在 电 存储 技术 高 速 发 展 的 冲击 下 , 光 存 储 技术 的 发 展 已 经 力不从心 ,使 用 范围 
逐步 缩小 。 
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4.3.2 机 械 硬 盘 
机 械 硬盘 (Hard Disk, 又 称 为 磁盘 ) 是 目前 计算 机 上 最 基本 和 常用 的 存储 器 。 
1. 硬盘 物理 结构 


现在 PC 使 用 的 硬盘 ,从 物理 结构 上 看 , 绝 大 多 数 都 属于 采用 “ 温 切 斯 特 (Winchester)” 
技术 的 硬盘 。 从 1973 年 IBM 生产 出 第 一 块 温 氏 硬盘 以 来 ,后 来 的 硬盘 基本 上 沿用 了 这 一 
结构 。 温 切 斯 特技 术 的 核心 特点 是 硬盘 磁盘 片 和 硬盘 驱动 器 合 为 一 体 , 部 件 全 部 密封 ,内 部 
磁盘 片 (Platter) 固 定 并 高 速 旋转 , 磁 片 表面 光滑 ,磁头 (Head) 悬 浮 于 盘 片上 方 沿 磁 盘 径 向 
移动 ,并且 不 和 磁盘 片 接触 ,如 图 4. 18 所 示 。 

(1) 磁 片 : 硬盘 由 多 个 磁盘 片 释 在 一 起 构成 盘 体 。 

(2) 磁头 : 每 张 磁 盘 片 的 正 反 两 面 各 有 一 个 磁头 。 

(3) 主轴 : 所 有 磁 片 都 由 主轴 电机 带动 旋转 。 


轴承 和 马达 电机 ) 


音 圈 马达 


永 磁铁 


图 4.18 硬盘 物理 结构 


2. 便 失 逻辑 结构 

按照 硬盘 的 容量 和 规格 不 同 ,硬盘 的 盘 片 数 不 同 , 面 数 也 就 不 同 , 如 图 4. 19 所 示 。 

(1) 磁盘 面 : 硬盘 由 很 多 盘 片 组 成 ,每 个 盘 片 都 有 两 个 面 , 这 两 个 面 都 是 用 来 存储 数据 
的 ,按照 面 的 多 少 , 依 次 称 为 0 面 ,1 面 .2 面 ,…。 

(2) 磁头 (Head) : 每 个 盘 片 的 每 个 面 都 有 一 个 专用 的 读 写 磁头 ,如 果 有 N 个 盘 片 ,就 
有 2N 个 面 ,对 应 2N 个 磁头 ,从 0,1,2,…,2N 进行 编号 。 

(3) 磁道 : 硬盘 在 读 写 的 时 候 以 电机 主轴 为 轴 高 速 旋转 ,连续 写 入 的 数据 排列 在 一 个 
圆周 上 , 称 这 个 圆周 为 磁道 。 随 着 读 写 头 沿 着 盘 片 半径 方向 上 下 移动 ,每 个 盘 片 被 划分 成 若 
干 个 同心 圆 磁道 (逻辑 上 ) ,根据 硬盘 规格 不 同 磁道 数 可 以 是 几 百 到 数 千 不 等 ,磁道 需要 编 
号 ,从 外 到 里 分 别 是 0,1,2,…。 
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旋转 方向 
图 4.19 硬盘 逻辑 结构 


(4) 鹿 区 (Sector): 一 个 磁道 上 可 以 容纳 数 千 字 节 的 数据 ,而 主机 读 写 时 往往 并 不 需要 
一 次 读 写 那么 多 ,于 是 , 磁道 又 被 划分 成 若干 段 ,每 段 称 为 一 个 扇 区 。 一 个 扇 区 一 般 存 放 
512 字 节 的 数据 。 扇 区 也 需要 编号 ,分 别称 为 1 扇 区 ,2 扇 区 ,…。 
于 盘 片 被 划分 的 若干 个 同心 圆 磁道 的 半径 不 同 ,所 以 磁道 的 长 度 不 同 。 外 圈 磁 道 的 
扇 区 比 内 圈 磁 道 的 扇 区 多 称 为 不 等 密度 结构 ,现代 硬盘 采用 此 结构 。 

(5) 柱 面 (Cylinder) : 每 个 盘 片 的 划分 规则 通常 是 一 样 的 ,这 样 每 个 盘 片 的 半径 均 为 固 
定 值 R 的 同心 圆 ,逻辑 上 形成 了 一 个 以 电机 主轴 为 轴 的 柱 面 , 从 外 至 里 编号 为 0、1、2…… 

3. 硬盘 的 物理 参数 

Cylinder Head Sector 这 三 个 参数 即 是 硬盘 的 物理 参数 。 柱 面 数 表示 硬盘 每 一 面 有 几 
条 磁道 ; 磁头 数 表 示 硬 盘 总 共有 几 个 盘面 ; 扇 区 数 表示 每 一 条 磁道 上 有 有 几 个 扁 区 。 

磁盘 容量 计算 公式 为 : 磁头 数 X 柱 面 数 X 筷 区 数 X512( 字 节 数 /每 个 扇 区 )。 

4. 硬盘 的 接口 类 型 

机 械 硬 盘 的 分 类 主要 以 接口 分 类 ,主要 包括 如 下 几 种 类 型 ; 

1) IDE/ATA 接口 

IDE 代表 着 硬盘 的 一 种 接口 类 型 ,平常 所 说 的 IDE 接口 ,也 称 为 ATA 接口 。 但 目前 硬 
件 接口 已 经 向 SATA 转移 ,最 后 一 批 出 厂 的 IDE 接口 主板 和 IDE 接口 设备 ,也 已 经 过 了 保 
修 期 ,但 是 在 实际 工作 中 ,还 能 遇 到 IDE 接口 的 硬盘 ,如 图 4. 20 所 示 。 

2) SCSI 接 口 

SCSI(Small Computer System Interface) 指 小 型 计算 机 系统 接口 ,是 一 种 智能 的 通用 接 
口 标准 ,用 于 计算 机 和 智能 设备 之 间 ( 硬 盘 、 软 驱 、 光 驱 、 打 印 机 ,扫描 仪 等 ) 的 系统 级 接口 , 具 
备 与 多 种 类 型 外 设 进行 通信 的 功能 。SCSI 接口 支持 热 插 拔 , 可 以 在 服务 器 不 停机 的 情况 
下 , 拔 出 或 插入 一 块 硬盘 ,操作 系统 自动 识别 硬盘 的 改动 。 这 种 技术 对 于 24 小 时 不 间断 运 
行 的 服务 器 来 说 是 非常 必要 的 。 早 期 SCSI 硬盘 是 服务 器 的 主要 硬盘 ,但 是 新 型 的 SAS 和 
SATA 硬盘 已 经 取代 了 SCSI 的 市 场 份额 。SCSI 接口 硬盘 如 图 4. 21 所 示 。 
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IDE 接 口 SCSI 接 口 


图 4.20 IDE 接口 硬盘 图 4.21 SCSI 接 口 硬盘 


3) SATA 接口 

使 用 SATA(Serial ATA) 口 的 硬盘 又 称 为 串口 硬盘 ,是 机 械 硬 盘 的 主流 。2001 年 ,由 
Intel.APT、Dell、IBM ,希捷 、 迈 拓 这 几 大 厂商 组 成 的 Serial ATA 委员 会 正式 确立 了 Serial 
ATA 1.0 规范 ,最 新 的 Serial ATA 规范 为 3. 0。Serial ATA 采用 串 行 连接 方式 ,能 对 传输 
指令 (不 仅仅 是 数据 ) 进 行 检 查 ,如 果 发 现 错误 会 自动 矫正 ,这 在 很 大 程度 上 提高 了 数据 传输 
的 可 靠 性 。SATA 接口 硬盘 如 图 4. 22 所 示 。 

eSATA(External Serial ATA) 指 外 部 串 行 ATA, 它 是 SATA 接口 的 外 部 扩展 规范 。 
简单 说 ,eSATA 就 是 “外 置 ? 版 的 SATA, 用 来 连接 外 部 而 非 内 部 的 SATA 设备 。 相 对 于 
SATA 接口 ,eSATA 在 硬件 规格 上 有 些 变化 ,数据 线 接口 连接 处 加 装 了 金属 弹片 以 保证 物 
理 连接 的 牢固 性 。 原 有 的 SATA 接口 采用 工 形 插头 区 别 接口 方向 ,而 eSATA 则 是 通过 插 
头 上 下 端 不 同 的 厚度 及 止 槽 来 防止 误 插 , 它 同样 支持 热 拔 插 。eSATA 接口 如 图 4. 23 所 示 。 


eSATA 


SATA 接 口 SATA 


eSATA 接口 


图 4.22 SATA 接口 硬盘 图 4.23 eSATA 接口 


4) SAS 接口 

SAS(Serial Attached SCSI) 即 串 行 连接 SCSI. 同 现在 流行 的 Serial ATA(CSATA) 硬 盘 
相同 ,都 是 采用 串 行 技术 以 获得 更 高 的 传输 速度 ,采用 串 行 线 缆 以 实现 更 长 的 连接 距离 ,并 
通过 缩短 连接 线 改 善 机 箱 内 部 空间 和 散热 情况 .改善 存储 系统 的 效能 .可 用 性 和 扩充 性 ,并 
提供 与 SATA 硬盘 的 兼容 性 。SAS 还 同时 提供 了 3.5 英寸 和 2.5 英寸 的 接口 ,能够 适合 不 
同 服务 器 环境 的 需求 。SAS 接口 硬盘 如 图 4. 24 所 示 。 

SAS 接口 技术 可 以 向 下 兼容 SATA. 二 者 的 兼容 性 主要 体现 在 物理 层 和 协议 层 的 兼 
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容 。 在 物理 层 ,SAS 接口 向 下 兼容 SATA 接口 ,SATA 硬盘 可 以 直接 使 用 在 SAS 的 环境 
中 ,但 是 SAS 却 不 能 直接 使 用 在 SATA 的 环境 中 。SATA 和 SAS 接口 区 别 如 图 4. 25 
所 示 。 


SAS 接 口 


图 4.24 SAS 接口 硬盘 图 4.25 SAS 接口 与 SATA 接口 的 区 别 


5) USB 接口 

USB( Universal Serial Bus ,通用 串 行 总 线 ) 是 一 个 外 部 总 线 标准 ,用 于 规范 计算 机 与 外 
部 设备 的 连接 和 通信 。USB 接口 支持 即 插 即 用 和 热 插 拔 功能 ,最 多 可 连接 127 种 外 部 设 
备 ,USB 接口 如 图 4. 26 所 示 。 

USB 接口 标准 经 历 了 多 年 的 发 展 ,到 如 今 已 经 发 展 到 
3.0 版 本 。USB 1. 0 出 现在 1996 年 ,速度 只 有 1. 5Mbps; 
1998 年 升级 为 USB 1. 1, 速度 也 大 大 提升 到 12Mbps 
(1. 5MBps)。USB 2.0 规范 由 USB 1. 1 规范 演变 而 来 , 传 USB 电 源 线 
输 速率 达到 了 480Mbps(60MBps) ,足以 满足 大 多 数 外 设 的 ”USB 数 据 线 ( 负 ) USB 数 据 线 (下 ) 
速率 要 求 。USB 2. 0 接口 可 以 向 下 兼容 USB 1. 1 的 设备 ， 图 4.26 USB 接口 
而 且 连 线 .插头 等 附件 也 都 可 以 直接 使 用 ; USB 3. 0 是 新 一 
代 的 USB 接口 标准 ,特点 是 传输 速率 非常 快 , 理 论 上 可 达到 5Gbps, 比 常见 的 480Mbps 的 
USB 2.0 快 10 倍 , 全 面 超越 IEEE 1394 和 eSATA。USB 3.0 的 外 形 和 普通 USB 接口 基本 
一 致 ,能 兼容 USB 2.0 和 USB 1. 1 设备 。 

6) 1394 接口 

IEEE 1394 接口 是 苹果 公司 开发 的 串 行 标准 ,又 称 为 火线 接口 (Firewire) 。 同 USB 一 
样 ,IEEE 1394 也 支持 外 部 设备 热 插 拔 , 可 为 外 部 设备 提供 电源 ,能 连接 多 个 不 同 设备 ,支持 
同步 数据 传输 。 

IEEE 1394 接口 有 两 种 类 型 : 一 种 是 IEEE 1394A, 有 6 针 引 脚 ,接口 的 数据 传输 速率 
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理论 上 可 达到 400Mbps, 也 称 火线 400; 另 一 种 是 IEEE 1394B, 有 4 针 引 脚 ,接口 的 数据 传 
输 速率 理论 上 可 达到 800Mbps, 也 称 火线 800。 两 种 接口 如 图 4. 27 所 示 。 


6-Pin 4-Pin 


图 4.27 IEEE 1394a 接口 和 IEEE 1394b 接口 


5. 人 硬盘 的 尺寸 

硬盘 还 可 以 以 尺寸 区 分 , 按 盘 片 尺寸 有 3.5 英寸 .2.5 英寸 ,1.8 英寸 等 常见 产品 。 例 
如 ,3.5 英寸 台式 机 硬盘 广泛 用 于 各 种 桌面 产品 和 服务 器 ; 2. 5 英寸 笔记 本 硬盘 广泛 用 于 笔 
记 本 计算 机 、 桌 面 一 体 机 、 移 动 硬盘 及 便携 式 硬盘 播放 器 ; 1.8 英寸 微型 硬盘 广泛 用 于 超 薄 
笔记 本 计算 机 、 移 动 硬 盘 及 苹果 播放 器 。 

除 此 之 外 ,还 有 一 些 不 太 常 见 的 硬盘 尺寸 规格 ,如 ZIF、LIF 硬盘 ,但 使 用 量 很 少 。 


4.3.3 闪存 


闪存 (Flash Memory) 是 一 种 固态 电子 快 闪 数 据 存储 设备 ,多 为 卡片 或 方块 状 。 闪 存 体 
积 小 ,容量 大 ,一 般 存 放 有 个 人 重要 信息 ,是 侦查 取证 的 重点 对 象 。 

1. SSD 

固态 硬盘 (Solid State Drives,SSD) 由 控制 单元 和 存储 单元 (Flash 芯片 .DRAM 芯片 ) 
组 成 。 固 态 硬盘 在 接口 的 规范 和 定义 、 功 能 及 使 用 方法 上 与 普通 硬盘 完全 相同 。 固 态 硬盘 
如 图 4. 28 所 示 。 


图 4.28 SSD 外 观 及 内 部 图 


固态 硬盘 的 内 部 构造 十 分 简单 ,主体 为 一 块 PCB 板 。 板 上 最 基本 的 配件 就 是 控制 艺 
片 、 缓 存 芯 片 和 用 于 数据 存储 的 闪存 (Flash 芯片 ) 。 

与 普通 机 械 硬盘 相 比 ,SSD 的 设计 及 数据 读 写 原理 不 同 , 其 读 写 原理 由 主 控 芯 片 控制 
进行 电子 信号 的 读 取 。 
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2. U 盘 

U 盘 ,全称 USB 闪存 盘 (Universal Serial Bus flash disk) .其 存储 介质 为 闪存 ,是 一 种 
使 用 USB 接口 的 无 须 物 理 驱动 器 的 微型 .高 容量 移动 存储 设备 ,可 实现 即 插 即 用 。U 盘 结 
构 简 单 ,主要 组 成 部 件 包括 USB 端口 . 主 控 芯 片 . 晶 振 、Flash( 闪 存 ) 芯 片 .PCB 板 等 。U 盘 
如 图 4. 29 所 示 。 


图 4.29 DU 盘 外 观 及 内 部 图 


USB 端口 是 数据 输入 或 输出 的 通道 ,负责 与 计算 机 连接 ; 主 控 芯片 是 口 盘 的 "大脑 ”, 负 
责 各 部 件 的 协调 管理 和 下 达 各 项 动作 指令 ,并 使 计算 机 将 U 盘 识 别 为 “可 移动 磁盘 ”; Flash 芯 
片 是 保存 数据 的 实体 。PCB 底板 将 各 部 件 连接 在 一 起 ,负责 提供 相应 处 理 数据 平台 

3. SD 

SD(Secure Digital Card ,安全 数码 卡 ) 卡 是 日 本 松下 公司 、 东 芝 公 司 和 美国 SanDisk 公 
司 于 1999 年 共同 研制 开发 而 成 的 ,是 一 种 基于 半导体 闪存 工艺 的 新 一 代 存 储 设备 ,已 成 为 
目前 消费 数码 设备 中 应 用 最 广泛 的 一 种 多 功能 存储 卡 ,如 图 4. 30 所 示 。 

4. TF 

TF(Trans Flash Card) 卡 ,2004 年 正式 更 名 为 Micro SD Card, 由 美国 SanDisk( 闪 迪 ) 
公司 发 明 , 如 图 4.31 所 示 。 
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图 4.30 SD 卡 图 4.31 TF(Micro SD) 卡 
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Micro SD 卡 主要 应 用 于 移动 电话 , 它 仿 效 SIM 卡 的 应 用 模式 , 即 同一 张 卡 可 以 应 用 在 
不 同型 号 的 移动 电话 内 ,让 移动 电话 制造 商 不 用 再 为 插 卡 式 的 研发 设计 而 伤 脑筋 ,因此 被 称 
为 可 移动 式 的 存储 IC。 同 时 , 它 也 能 通过 SD 转 接 卡 转 接 于 SD 卡 插 模 中 使 用 。 

Micro SD 卡 的 体积 只 有 15mmX1lmmX1lmm, 相 当 于 手指 甲 的 大 小 。Micro SD 卡 提 
供 4GB、8GB、16GB、32GB、64GB 甚至 更 高 的 容量 。 由 于 Micro SD 卡 的 体积 微小 以 及 储存 
容量 的 不 断 提高 ,现在 更 多 应 用 于 GPS 设备 、 便 携 式 音乐 播放 器 和 一 些 闪存 存储 器 中 。 


4.3.4 移动 终端 


网 络 设 备 中 应 用 最 为 普及 的 是 各 种 移动 终端 。 移 动 终端 的 典型 代表 是 手机 和 平板 电 
脑 。 这 些 设 备 都 具备 上 网 功能 ,一 般 利 用 Wi-Fi 和 移动 通信 技术 进行 数据 传输 。 

移动 设备 在 生产 时 , 都 会 被 赋予 一 个 IMEI (International Mobile Equipment 
Identification, 国际 移动 设备 识别 码 ), 用 于 在 全 球 范围 内 唯一 标识 ,一 机 一 码 , 类 似 于 人 的 
身份 证 号 。IMEI 俗称 " 串 号 ”, 印 在 机 身 背 面 的 标志 上 ,并且 存储 在 设备 内 存 中 ,移动 设备 
通过 键入 “ x* #06#” 即 可 查 得 。IMEI 总 长 15 位 ,每 位 仅 使 用 0 一 9 的 数字 ,其 组 成 为 : 

。 前 6 位 数 (TAC) 是 “型 号 核准 号 码 ”, 由 欧洲 型 号 标准 中 心 分 配 ,一 般 代表 机 型 ; 

。 接着 的 2 位 数 (FAC) 是 “最 后 装配 号 ”, 表 示 装 配 厂 家 号 码 ,一 般 代表 产地 ; 

。 之 后 的 6 位 数 (SNR) 是 “ 串 号 ”, 代 表 生 产 顺 序号 ,用 于 区 别 同一 个 TAC 和 FAC 中 

的 每 台 移 动 设备 ; 
。 最 后 1 位 数 (SP) 通 常 是 0, 为 检验 码 , 目 前 暂 备用 。 


4.3.5 SIM USIM UIM 卡 


手机 借助 通话 卡 来 实现 通话 ,存储 用 户 身份 数据 或 是 连接 移动 网 络 。 通 常 GSM、 
WCDMA 和 CDMA 等 网 络 所 使 用 的 用 户 识别 卡 从 外 形 上 看 起 来 都 是 一 致 的 ,只 是 在 不 同 
制式 的 移动 通信 和 网络 中 ,用 户 识别 模块 的 名 称 不 同 ,如 SIM 卡 `USIM 卡 和 UIM 卡 。 

通话 卡 主 要 指 SIM/USIM/UIM 卡 ,由 CPU、ROM、RAM、EEPROM 和 1/O 电 路 等 组 
合 构成 ,本 身 有 容量 之 分 ,通常 有 8KB、16KB、32KB、64KB、128KB 甚至 512KB 大 容量 ,其 
主要 作用 是 存储 用 户 识别 的 数据 .电话 信息 、 短 信 内 容 或 是 收藏 运营 商 服 务 。 但 它 本 身 并 不 
是 单纯 的 信息 存储 器 , 当 使 用 时 实际 上 是 需要 手机 向 其 发 出 命令 ,此 时 它 会 根据 当地 的 标准 
规范 来 执行 或 拒绝 ,实现 2G、3G、4G 网 络 的 接 入 管理 用 户 PIN 码 、 加 密 , 等 等 。 

SIM/USIM/UIM 卡 根据 尺寸 大 小 不 同 , 分 为 Mini 卡 (15mm X25mm, 也 称 标准 卡 )、 
Micro 卡 (12mm X15mm, 也 称 小 卡 ) 和 Nano 卡 (8. 8mm X12.3mm, 也 称 微 型 卡 ) 等 ,如 
图 4. 32 所 示 。 

1. SIM 卡 

SIM 英文 全 称 为 Subscriber Identity Module,. 即 “用 户 识 别 模块 ,是 全 球 各 国 GSM 网 
络 中 最 为 常见 的 一 种 用 户 识别 卡片 类 型 。 目 前 ,中 国 移动 通信 和 中 国联 合 网 络 通信 的 GSM 
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微型 卡 


图 4.32 不 同 尺寸 的 卡 


网 络 均 采用 SIM 卡 作为 用 户 身 份 识 别 模块 ,是 移动 通信 运营 商 颁 发 给 用 户 的 使 用 凭证 和 网 
络 接 人 身份 标识 ,SIM 卡 中 包含 的 主要 信息 有 : 

(1) IMSI, 即 International Mobile Subscriber Identification, 是 用 来 区 别 移动 通信 用 户 
唯一 身份 标识 的 有 效 信息 。 当 用 户 使 用 移动 通信 终端 接 人 移动 网 络 时 ,IMSI 是 重要 的 身份 
验证 和 鉴 权 信息 。IMSI 是 15 位 的 十 进 制 数 ,使 用 0 一 9 的 数字 ,由 MCC 十 MNC 十 MSIN 
构成 。 

。 MCC: Mobile Country Code, 是 移动 用 户 所 属国 家 代码 , 占 3 位 数字 。 例 如 ,中 国 的 

MCC 规定 为 460。 

。 MNC: Mobile Network Code, 是 移动 网 号 码 , 用 于 识别 移动 用 户 所 归属 的 移动 通信 
网 ,由 2 位 或 者 3 位 数字 组 成 。 在 同一 个 国家 内 ,如 果 有 多 个 PLMN (Public Land 
Mobile Network, 公 共 陆 地 移动 网 ,一 般 某 个 国家 的 一 个 运营 商 对 应 一 个 PLMN)， 
可 以 通过 MNC 来 进行 区 别 , 即 每 一 个 PLMN 都 要 分 配 唯一 的 MNC。 例 如 ,中 国 
移动 系统 使 用 00、02、07 ,中国 联通 GSM 系统 使 用 01.06 ,中 国电 信 CDMA 系统 使 
用 03.05, 中 国电 信 4G 使 用 11。 

。 MSIN: Mobile Subscriber Identification Number, 移动 用 户 识别 号 码 , 用 以 识别 某 
一 移动 通信 网 中 的 移动 用 户 , 占 10 位 数字 。 

(2) MSISDN , 即 Mobile Station International Subscriber Directory Number ,移动 台 国 
际 用 户 目录 号 ,在 通信 系统 中 MSISDN 又 称 为 手机 号 ,由 移动 通信 运营 商 保存 并 和 IMSI 关 
联 。IMSI 与 手机 号 码 的 绑 定 关系 ,在 网 络 侧 网 元 HLR(Home Location Register) 内 定义 ， 
且 只 能 由 运营 商 的 授权 人 员 , 在 其 数据 库 中 查询 。 

IMSI 和 MSISDN 都 是 用 户 标识 ,在 不 同 的 接口 ,不同 的 流程 中 需要 使 用 不 同 的 标识 。 

(3) Ki、Kc、A3、A8. 即 密 钥 Ki、 密 钥 Kc、 加 密 算法 A3、A8。 这 些 信 息 是 SIM 卡 中 存储 
的 最 为 关键 的 信息 。 

。 A3 和 A8 加 密 算法 用 于 加 密 数据 。 
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。 Ki 一 DES(IMSI,Kki) , 即 采用 DES 加 密 算法 ,根据 用 户 所 使 用 SIM 卡 的 IMSI 和 写 
卡 母 密 钥 Kki 生成 ,并 同时 导出 Ke。 

Ki 和 Kc 两 组 密 钥 在 移动 通信 运营 商 发 卡 时 会 同时 写 入 系统 后 台 和 SIM 卡 中 。 当 
SIM 卡 尝试 连接 移动 通信 网 络 时 ,由 运营 商 通信 网 络 中 的 AUC( 鉴 权 中 心 ) 进 行 比 对 和 

2. USIM 卡 

USIM 卡 全 称 为 Universal Subscriber Identity Module, 也 叫 升 级 SIM, 主要 用 于 
UMTS( Universal Mobile Telecommunications System ,通用 移动 通信 系统 ) 的 3G 网 络 , 日 
前 广泛 用 于 全 球 各 个 采用 WCDMA 的 移动 通信 网 络 中 (中 国联 通 3G 网 络 (WCDMA) 所 使 
用 的 就 是 USIM 卡 )。USIM 卡 在 安全 性 方面 对 算法 进行 了 升级 ,并 增加 了 卡 对 网 络 的 认证 
功能 ,这 种 双向 认证 可 以 有 效 防止 黑客 对 卡片 的 攻击 , 较 传 统 SIM 卡 来 说 更 为 安全 。 

USIM 卡 中 除了 包含 SIM 卡 中 IMSI、MSISDN 等 基本 信息 外 ,区 别 于 SIM 卡 的 信息 主 
要 有 : 

(1) CK、IK 一 一 和 GSM SIM 卡 中 的 Ki 和 Kec 类似 ,USIM 卡 中 的 CK( 加 密 密 钥 ;和 区 
(完整 性 密 钥 ) 主 要 用 于 网 络 中 接口 数据 的 加 密 和 完整 性 保护 。 

(2) SMS 短信 相关 信息 一 一 相 比 较 于 传统 SIM 卡 只 能 存储 发 送 号 码 和 时 间 的 弊端 ， 
USIM 卡 中 可 供用 户 存储 短信 息 内 容 、 发 送 人 、 发 送 状态 等 信息 ,更 加 全 面 。 

(3) MMS 多 媒体 信息 (彩信 ) 相关 信 息 一 一 USIM 卡 中 可 以 保存 MMS 业务 相关 的 用 
户 设置 信息 ,例如 MMS 彩信 中 心地 址 MMS 网 关 地 址 、 发 送 接收 报告 标志 .MMS 信息 优 
先 级 、 信 息 有 效 期 等 。 

(4) 电话 短信 息 一 一 传统 SIM 卡 中 的 电话 簿 只 能 保存 联系 人 姓名 和 单一 号 码 , USIM 
卡 中 允许 用 户 为 一 个 姓名 添加 多 个 电话 号 码 、 多 个 电子 邮件 地 址 及 昵称 。 

(5) 接口 速率 提升 一 一 USIM 卡 的 机 卡 接口 速率 可 达 230Kbps, 远 远 高 于 GSM SIM 卡 
的 57Kbps。 

由 于 USIM 卡 可 以 保存 SIM 卡 中 的 相关 信息 ,因此 USIM 卡 可 以 同时 用 于 WCDMA 
和 GSM 网 络 中 。 

3. UIM 下 

UIM 卡 全 称 为 User Identity Module, 主要 用 于 接 人 中 国电 信 CDMA 网 络 。UIM 卡 
中 除 包含 基本 的 IMSI、SMS 相关 信息 外 ,还 包含 下 列 主要 信息 : 

(1) TMSI 一 一 Temporary Mobile Subscriber Identity,. 临时 移动 用 户 标识 是 在 移动 设 
备 接 入 网 络 后 所 采用 的 另外 一 种 号 码 临时 代替 IMSI 在 网 络 中 进行 传递 。 采 用 TMSI 临时 
代替 IMSI 可 以 保护 IMSI 不 被 泄露 :加强 系统 的 保密 性 ,防止 非法 个 人 或 团体 通过 监听 无 
线路 径 上 的 信 令 窃取 IMSI 或 跟踪 用 户 的 位 置 。 

(2) SID、NID 一 一 SID(System Identifier) 是 系统 识别 码 .NID(Network Identifier) 是 网 
络 识别 码 , 它 们 二 者 在 CDMA 网 络 中 由 运营 商 在 后 台 结 合 BSID(Base Station Identifier) 作 
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为 本 地 网 /异地 网 与 基站 的 识别 。 

(3) ESN/MEID——ESN (Electronic Serial Numbers) 和 MEID (Mobile Equipment 
ID) 均 为 CDMA 系统 中 的 手机 终端 识别 号 ,是 鉴别 一 个 物理 硬件 设备 的 唯一 标识 ,每 个 合 
法 的 手机 终端 都 会 被 分 配 一 个 全 球 唯一 的 ESN 或 MEID。 

ESN 和 MEID 分 别 为 32 位 和 56 位 ,MEID 是 对 ESN 的 扩展 ,以 弥补 ESN 资源 的 不 
足 ; 一 个 终端 可 以 用 ESN 标识 ,也 可 以 用 MEID 标识 ,只 能 使 用 其 中 之 一 ,具体 被 分 配 为 何 
种 标识 , 视 终端 厂商 的 资源 而 定 。 

对 于 机 卡 分 离 终端 ,UIM 卡 还 会 拥有 一 个 识别 码 UIMID( User Identify Module ID)， 
也 为 32 位 ,由 14bit 设备 制造 商号 十 18bit 序列 号 构成 。UIMID 储存 于 UIM 卡 中 ,作为 鉴 
权 的 参数 之 一 和 替代 ESN 作为 终端 /用 户 的 一 个 标识 。 

(4) 鉴 权 算法 和 密 钥 生成 算法 一 一 目前 ,CDMA 网 络 中 基于 ANSI-41 的 安全 操作 采用 
的 是 CAVE 算法 。 

。 A-Key: 用 于 密 钥 生 成 的 Key。 

。 SSD: 用 于 鉴 权 和 密 钥 生 成 过 程 。 


4.4 网 络 协议 概述 


网 络 协议 的 存在 ,使 在 网 络 上 运行 的 各 种 面向 服务 的 软件 模块 和 应 用 成 为 可 能 ,支撑 了 
电子 商务 、 电 子 政务 和 各 种 业务 流程 的 广泛 应 用 。 本 节 通 过 介绍 常见 的 网 络 协议 及 其 基础 
知识 ,原理 ,希望 达到 深入 了 解 各 种 网 络 协 议 的 教学 目的 。 

网 络 协议 在 TCP/IP 协议 簇 的 实现 中 具有 举足轻重 的 作用 。 计 算 机 网 络 中 使 用 的 协议 
很 多 ,这 里 主要 介绍 传输 层 的 TCP 协议 .UDP 协议 .网络 层 的 IP 协议 ,应 用 层 的 HTTP 协 
议 .POP3/SMTP/IMAP、ARP 协议 .DHCP 协议 等 。 


4.4.1 TCP 


传输 控制 协议 (Transmission Control Protocol,TCP) 最 早 在 IETFOD 的 RFC 793@ 文 
件 内 说 明 , 是 一 种 基于 字 节 流 的 可 靠 的 面向 连接 的 通信 协议 。 

TCP 协议 的 最 大 特点 是 “面向 连接 ”。“ 面 向 连接 ” 指 网 络 中 通信 双方 在 通信 前 会 进行 
三 次 握手 预先 建立 一 条 完整 的 连接 ,通信 双方 只 会 通过 此 连接 传递 信息 ,而 不 会 选择 其 他 链 
路 ,就 像 实际 生活 中 打 电 话 , 只 有 拨 通 对 方 电话 后 才 可 以 进行 交流 。 三 次 握手 建立 连接 过 程 
如 图 4. 33 所 示 。 


四 IETF, 互 联网 工程 任务 组 , 始 建 于 1986 年 ,主要 致力 于 推动 Internet 标准 规范 制定 。 
回 REFC ,英文 全 称 Request For Comments, 中 文 意思 为 征求 意见 修订 书 ”, 包 含 关 于 Internet 的 几乎 所 有 重要 的 
文字 资料 。 
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第 一 次 握手 : 客户 端 (主机 A) 首 先 发 送 连接 建立 请 求 , 将 SYN 包 发 送 到 服务 器 ( 即 主 


主机 A ~ 主机 B 
连接 请 求 | 
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确认 


图 4.33 三 次 握手 过 程 


机 B) ,随后 进入 等 待 状态 ; 第 二 次 握手 : 服务 器 (主机 B) 接 收 到 SYN 包 后 ,对 客户 的 连接 
请 求 进行 确认 ( 即 确认 SYN) ,同意 建立 连接 则 发 送 确认 建立 连接 信息 , 即 SYN 十 ACK 包 ， 
通知 客户 端 允许 建立 连接 ,并 进入 连接 确认 状态 ; 第 三 次 握手 : 客户 端 接收 到 建立 连接 信 
息 ( 即 SYN 十 ACK) 后 ,再 次 向 服务 器 发 送 连 接 建 立 确认 包 ACK, 通 知 服务 器 已 经 建立 连 
接 ,可 以 进行 信息 传递 。 三 次 握手 过 程 简单 明了 ,是 一 个 “申请 一 允许 一 确认 一 建立 ”的 过 
程 ,连接 建立 后 ,相当 于 在 客户 端 与 服务 器 之 间架 设 了 一 个 直接 通信 的 专用 通道 。 

通信 双方 建立 连接 也 保证 了 通信 的 可 靠 性 ,此 外 TCP 协议 还 制定 了 一 系列 机 制 以 保证 
数据 可 靠 传输 ,主要 有 : 


当 传 输 大 量 数据 时 .TCP 将 其 分 割 成 最 适合 发 送 的 数据 块 。 

重 传 机制 。 发 送 端 设 有 定时 器 ,每 发 送 一 个 报 文 ( 即 数据 信息 ) 后 ,会 等 待 接收 端的 
确认 ,如 果 没 有 在 设 定 的 时 间 内 接收 到 确认 ,会 重 传 数据 。 接 收 端 每 接收 到 一 个 数 
据 报 后 ,会 发 送 一 个 接收 成 功 的 确认 。 

差错 校 验 机 制 。TCP 通过 检验 数据 报 的 首部 和 数据 的 校 验 和 ,确保 数据 的 正确 性 
和 完整 性 。 如 果 校 验 和 有 差错 , 则 丢弃 该 数据 报 , 不 发 送 确认 。 

面向 流 。 当 传输 大 量 数 据 时 ,TCP 将 整个 报 文 看 作 由 字 节 组 成 的 数据 流 ,并 对 其 中 
每 个 字 节 编号 。 建 立 连接 时 ,通信 双方 商定 初始 序号 。 通 信 时 ,每 次 传输 报 文 段 ,都 
会 将 该 报 文 段 的 第 一 个 数据 字 节 的 序号 放 在 TCP 头 部 的 序号 字段 内 。 

重 排 机 制 。 对 无 序 到 达 的 报 文 段 重新 排序 ,以 便 恢 复原 始 信息 。 

流量 控制 机 制 。TCP 通过 滑动 窗口 机 制 来 管理 发 送 和 接收 两 段 的 流量 ,以 防止 发 
送 过 快 导致 接收 端 溢出 ,或 接收 端 处 理 速度 过 快 而 浪费 时 间 。 滑 动 窗口 是 接收 端 运 
行 发 送 端 发 送 的 数据 量 ( 单 位 为 字 节 ) ,滑动 窗口 值 通常 会 附加 在 每 次 接收 方 发 送 的 
确认 信息 中 ,并 且 其 值 会 依据 实际 状态 动态 变化 。 
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此 外 ,TCP 协议 还 提供 多 路 复 用 和 分 用 技术 .全 双 工 通信 等 以 确保 信息 准确 .快速 地 
传输 。 


4.4.2 UDP 


用 户 数据 报 协议 (User Datagram Protocol, UDP) 最 早 由 IETF 的 RFC768 文件 正式 规 
范 ,是 一 种 不 可 靠 的 面向 无 连接 的 通信 协议 。 

相 比 TCP 协议 ,UDP 协议 报头 更 短 , 由 4 个 域 8 个 字 节 组 成 , 即 : 源 端口 号 .目的 端口 
号 .数据 报 长 度 和 校 验 值 ,每 个 域 占 2 个 字 节 。 发 送 方 通过 源 端口 号 发 送 数据 ,接收 方 通过 
目的 端口 号 接收 数据 ,因此 ,不 同 的 应 用 可 以 使 用 不 同 的 端口 号 发 送 和 接收 数据 ,UDP 协议 
使 用 端口 号 为 不 同 应 用 保留 各 组 的 数据 传输 通道 。 数 据 报 长 度 是 指 报头 和 数据 部 分 的 总 字 
节 数 ,而 不 单 指 传送 的 数据 量 , 该 域 通常 用 来 计算 数据 负载 。 校 验 位 用 于 保证 数据 传输 的 安 
全 性 ,如 果 发 送 方 和 接收 方 计算 的 校 验 值 不 同 , 则 说 明 数 据 在 传输 过 程 中 被 破坏 。 与 TCP 
协议 不 同 ,UDP 的 校 验 值 不 是 必需 的 , 当 值 为 零 时 , 则 说 明 没 有 启用 校 验 。 

当 用 户 对 应 用 程序 数据 精度 要 求 不 高 时 ,如 视频 和 音频 等 ,可 以 使 用 UDP 协议 。UDP 
协议 提供 面向 无 连接 的 不 可 靠 的 数据 传输 服务 ,不 会 对 数据 进行 分 组 .封装 和 排序 ,而 是 交 
由 应 用 层 完 成 。 网 络 主机 无 须 预先 建立 连接 ,直接 将 数据 发 送出 去 即 可 ,因此 无 法 确保 数据 
是 否 安 全 完整 地 达到 目的 端 。 相 比 TCP 协议 , 它 的 开销 要 低 ,传输 延迟 要 小 。 虽 然 UDP 协 
议 缺 陷 很 多 ,但 仍然 不 失 为 一 种 可 行 而 实用 的 网 络 传输 协议 。 


4.4.3 IP 


网 际 协议 (Internet Protocol,IP) 是 TCP/IP 协议 簇 中 的 核心 协议 ,是 TCP/IP 的 载体 ， 
也 是 最 重要 的 互联 网 标准 协议 之 一 。IP 协议 是 一 个 面向 无 连接 的 不 可 靠 的 信息 传输 协议 ， 
是 网 络 中 主机 实现 通信 的 一 系列 规则 。 

“不 可 靠 ” 指 IP 协议 仅 提供 最 好 的 传输 服务 ,但 不 保证 IP 数据 报 了 能 成 功 到 达 目 的 地 。 
当 发 生 某 种 错误 时 ,如 某 路 由 器 的 缓冲 区 暂时 用 完 ,IP 协议 会 对 数据 报 进行 错误 处 理 , 丢 掉 
该 数据 报 ,随后 发 送 ICMPS@ 消息 给 信 源 。“ 无 连接 ” 指 IP 协议 在 传递 数据 前 不 会 像 TCP 
协议 那样 预先 建立 专用 连接 通道 ,也 不 会 维护 数据 报 传递 后 的 任何 状态 信息 ,数据 报 的 处 理 
是 相互 独立 的 ,其 到 达到 目的 端的 顺序 和 路 径 也 可 能 不 同 , 先 发 送 的 数据 报 不 一 定 先 到 达 。 
因此 ,无 连接 性 和 不 可 靠 性 是 IP 协议 两 个 很 重要 的 特性 。 

IP 协议 屏蔽 了 下 层 各 种 物理 网 络 间 的 差异 ,将 各 种 不 同 格式 的 数据 传输 单元 (统称 为 
“ 帧 ”) 统 一 转换 成 “IP 数据 包 ” 格 式 , 使 得 不 同 厂 商 的 主机 系统 ,只 要 遵循 IP 协议 就 可 通过 


中 IP 数据 报 是 互联 网 传输 的 包 , 由 首部 和 数据 两 部 分 组 成 ,首部 是 有 关 数 据 的 基本 信息 .如 源 地 址 、 目 的 地 址 ,长 
度 等 ,数据 是 通信 双方 要 交换 的 数据 信息 。 
回 ICMP,Internet 控制 报 文 协议 ,用 于 在 主机 和 路 由 器 间 传 递 控制 消息 。 
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网 络 进行 通信 。 了 P 数据 包 是 进行 分 组 交换 的 一 种 形式 ,就 是 将 传输 的 数据 分 割 成 几 段 ,将 
各 段 打 “ 包 ” 独 立 发 送出 去 ,由 于 在 发 送 前 没有 建立 任何 连接 ,因此 这 些 “ 包 ”到 达 目 的 端的 路 
径 各 有 差异 , 极 大 地 提高 了 网 络 的 安全 性 。 

IP 协议 实现 了 两 个 基本 功能 , 即 分 段 和 寻 址 。 不同 网 络 的 MTUD( 最 大 传输 单元 ) 各 
不 相同 ,如 以 太 网 的 MTU 为 1518 字 节 。 如 果 传 输 数据 的 长 度 超过 MTU 时 ,IP 协议 会 将 
数据 报 分 割 成 多 个 大 小 合适 的 数据 报 , 以 确保 数据 报 能 够 发 送出 去 ,这 就 是 IP 协议 的 分 段 
功能 。IP 协议 用 IP 地址 标识 网 络 中 的 主机 ,IP 数据 报 中 会 记录 源 IP 地 址 和 目的 卫 地址 
以 标识 传输 数据 的 源 主机 和 目的 主机 。IP 数据 报 在 传输 过 程 中 ,中 间 节 点 会 根据 目的 下 
地 址 等 信息 选择 合适 的 转发 路 径 , 直 至 到 达 目 的 主机 。 


4.4.4 HTTP 


HTTP(HyperText Transfer Protocol, 超 文本 传输 协议 ) 是 互联 网 上 应 用 最 为 广泛 的 
应 用 层 协议 。 所 有 的 WWW 文件 都 必须 遵守 这 个 标准 。 设 计 HTTP 最 初 的 目的 是 为 了 提 
供 一 种 发 布 和 接收 HTML 页 面 的 方法 。 

HTTP 是 一 个 客户 端 和 服务 器 端 请 求 和 应 答 的 标准 。 通 常 ,由 HTTP 客户 端 发 起 一 
个 请 求 ,建立 一 个 到 服务 器 指定 端口 (默认 是 80 端口 ) 的 TCP 连接 。HTTP 服务 器 则 在 那 
个 端口 监听 客户 端 发 送 过 来 的 请 求 ,一 旦 收 到 请 求 , 服 务 器 (向 客户 端 ) 响 应 ,发 回 一 个 状态 
行 消息 ,消息 体 可 能 是 请 求 的 文件 .错误 消息 或 者 其 他 一 些 信 息 。 通 过 HTTP 或 者 
HTTPS 协议 请 求 的 资源 由 统一 资源 标识 符 (Uniform Resource Identifiers,URL) 来 标识 。 

HTTP 响应 消息 的 第 一 行为 下 面 的 格式 : 

HTTP-Version Status-Code Reason-Phrase( 例 如 ,HTTP/1.0 200 OK) 

HTTP-Version 表示 支持 的 HTTP 版 本 ,例如 HTTP/1. 1。Status-Code 是 由 3 个 数 
字 表 示 的 结果 代码 。Reason-Phrase 给 Status-Code 提供 一 个 简单 的 文本 描述 。Status- 
Code 主要 用 于 机 器 自动 识别 ,Reason-Phrase 主要 用 于 帮助 用 户 理解 。Status-Code 的 第 一 
个 数字 定义 响应 的 类 别 , 后 两 个 数字 没有 分 类 的 作用 。 第 一 个 数字 可 能 取 5 个 不 同 的 值 。 

。 1xx: 信息 响应 类 ,表示 接收 到 请 求 并 且 继续 处 理 。 

。 2xx: 处 理 成 功 响 应 类 ,表示 动作 被 成 功 接收 、 理 解 和 接受 。 

。 3xx: 重 定向 响应 类 ,为 了 完成 指定 的 动作 ,必须 接受 进一步 处 理 。 

。 4xx: 客户 端 错误 ,客户 请 求 包含 语法 错误 或 者 是 不 能 正确 执行 。 
。 5xx: 服务 端 错误 ,服务 器 不 能 正确 执行 一 个 正确 的 请 求 。 
常见 的 响应 消息 Status-Code 为 200 和 404。 


四 MTU ,Maximum Transmission Unit, 最 大 传输 单元 , 指 通信 协议 的 某 一 层 上 所 能 通过 的 最 大 数据 报 大 小 (单位 
为 字 节 ) ,通常 与 通信 接口 (网 卡 接口 卡 .串口 等 ) 有 关 。 
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4.4.5 DNS 


DNS(Domain Name System ,域名 系统 ) 实 现 了 域名 和 IP 地 址 的 转换 。 计 算 机 通信 是 
通过 IP 地 址 来 寻 址 ,但 互联 网 用 户 更 愿意 记忆 有 意义 的 名 字 , 即 域名 (Domain Name) ,但 真 
正 开 始 通信 前 , 则 需要 把 域名 转换 成 IP 地 址 。Internet 网 络 信息 中 心 (Internet Network 
Information Center,InterNICO) 制 订 了 一 套 称 为 域名 系统 的 分 层 名 字 解 析 方案 , 当 DNS 用 
户 提 出 IP 地 址 查询 请 求 时 ,就 可 以 由 DNS 服务 器 中 的 数据 库 提供 所 需 的 数据 。DNS 是 应 
用 层 协议 , 且 使 用 UDP 协议 (53 号 端口 ) 进 行 报 文 传输 。 

如 图 4. 34 所 示 的 DNS 是 一 个 分 布 式 数据 库 , 各 数据 库存 放 于 世界 各 地 的 DNS 服务 器 
上 ,它们 组 成 了 一 棵 树 , 目 前 这 棵 树 的 顶端 是 13 个 根 DNS 服务 器 (由 一 个 主 服 务 器 和 12 个 
辅 服务 器 组 成 )。 顶 级 域 DNS 服务 器 负责 顶级 域名 和 所 有 国家 的 顶级 域名 解析 工作 ,例如 
Network Solution 公司 负责 维护 com 顶级 域 DNS 服务 器 ,Educause 公司 负责 维护 edu 顶级 域 
DNS 服务 器 。 权 威 DNS 服务 器 属于 某 个 组 织 ( 如 大 学 公司) 的 DNS 服务 器 ,为 组 织 的 服务 器 
提供 一 个 权威 的 域名 到 IP 地 址 的 映射 服务 ,这 些 DNS 服务 器 一 般 由 所 属 组 织 或 服务 提供 商 
负责 维护 。 本 地 DNS 服务 器 ,也 称 为 “默认 DNS 服务 器 ”和 主机 最 近 的 DNS。 严 格 地 说 ,本 地 
DNS 服务 器 并 不 属于 DNS 层次 结构 中 的 一 层 , 其 行为 就 像 一 个 代理 ,会 向 域名 的 层次 体系 进 
行进 一 步 的 域名 查询 。DNS 服务 器 的 查询 有 递归 查询 和 迭代 查询 两 种 方式 。 


根 DNS 服务 器 根 DNS 服 务 器 


顶级 域 服务 器 ”|.com DNS 服务 器 .cn DNS 服务 器 .edu DNS 服务 器 
I 
4 yahoo.com hustedu.cn sina.com.cn umass.edu 
公 咸 DNS 服务 器 | DNS 服务 器 | | DNS 服务 器 | | DNS 服务 器 | |DNS 服 务 器 


由 本 地 JSP 提 供 的 


图 4.34 DNS 的 层次 结构 


使 用 主机 名 (域名 ) 比 直接 使 用 IP 地 址 具有 以 下 两 点 好 处 : 
。 主机 名 便于 记忆 ,如 www. gov. cn。 
。 数字 形式 的 人 P 地 址 可 能 会 由 于 各 种 原因 而 改变 ,而 主机 名 可 以 保持 不 变 。 


中。 http://www. internic. net 
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现行 互联 网 域名 系统 被 划分 为 两 个 级 别 , 即 顶 级 域名 和 二 级 域名 。 域 名 由 两 个 或 两 个 
以 上 的 词 构成 ,中 间 由 点 号 分 隔 开 ,最 右边 的 那个 词 称 为 顶级 域名 。 

顶级 域名 用 以 识别 域名 所 属 类 别 .应 用 范围 .注册 国家 等 公用 信息 代码 ,不 同 代 码 标识 
不 同 的 意义 ,一 般 分 为 两 类 。 

。 地理 域 。 

第 一 类 是 国家 和 地 区 顶级 域名 ,也 被 称 作 地 理 域 。 目 前 200 多 个 国家 都 按照 ISO 3166 
国家 代码 分 配 了 顶级 域名 ,常见 地 理 域 如 表 4.5 所 示 。 


表 4.5 常见 地 理 域 


地 区 名 称 代号 国家 或 地 区 名 称 
.au Australia( 澳 大 利 亚 ) 
.cn China( 中 国 ) 
.Cu Cuba( 古 巴 ) 
.de Germany( 德 国 ) 
.fr France( 法 国 ) 
.hk Hong Kong( 中 国 香港 ) 
.jp Japan( 日 本 ) 
.kr Korea-South( 韩 国 ) 
.tw Taiwan( 中 国 台湾 ) 
.uk United Kingdom( 英 国 ) 
.US United States( 美 国 ) 

。 机 构 域 。 


第 二 类 是 国际 项 级 域名 ,也 被 称 作 机 构 域 。 常 见 机 构 域 如 表 4. 6 所 示 。 
表 4.6 常见 机 构 域 


地 区 名 称 代号 国家 或 地 区 名 称 

.com 商业 机 构 

. net 网 络 服务 机 构 
.Org 非 营 利 组 织 
-gov 政府 机 构 
.edu 教育 机 构 
.mil 军事 机 构 
.info 信息 提供 

. mobi 专用 手机 域名 
.int 国际 机 构 

. aero 航空 机 构 

. post 邮政 机 构 
.rec 娱乐 机 构 


注 : 虽然 com 代表 商业 机 构 , 但 个 人 也 可 以 注册 com 域名 。 或 者 说 .不 是 所 有 的 com 域名 都 是 商业 机 构 ,net、org 
等 顶级 域名 也 是 一 个 道理 。 


第 4 章 网 络 犯罪 侦查 基础 知识 109 


二 级 域名 指 顶 级 域名 之 下 的 域名 ,在 国家 项 级 域名 下 ., 它 表示 注册 企业 类 别 的 符号 。 我 
国 在 国际 互联 网 络 信息 中 心 (Inter NIC) 正 式 注册 并 运行 的 顶级 域名 是 . cn, 这 也 是 我 国 的 
一 级 域名 。 在 这 个 顶级 域名 下 ,我 国 的 二 级 域名 又 分 为 类 别 域名 和 行政 区 域名 两 类 。 类 别 
域名 共 6 个 ,包括 : 用 于 科研 机 构 的 . ac; 用 于 工商 金融 企业 的 . com; 用 于 教育 机 构 的 . edu; 
用 于 政府 部 门 的 . gov; 用 于 互联 网 络 信息 中 心 和 运行 中 心 的 . net; 用 于 非 营利 组 织 的 . org; 
而 行政 区 域名 有 34 个 ,分 别 对 应 于 我 国 各 省 .自治 区 和 直辖 市 ,例如 . ln( 辽 宁 ) 。 

根据 各 个 国家 与 地 区 互联 网 络 发 展 的 需要 ,各 国 或 地 区 还 可 以 设计 层次 更 多 的 域名 系 
统 , 使 其 包括 三 级 域名 、 四 级 域名 等 ,分 别 作 为 不 同 的 地 域 或 行业 标志 。 


4.4.6 FTP 


文件 传输 协议 (File Transfer Protocol, FTP) 用 于 Internet 上 的 控制 文件 的 双向 传输 。 
FTP 也 是 一 个 客户 /服务 器 系统 ,支持 两 种 传输 模式 : 一 种 方式 叫 作 Standard (也 就 是 
PORT 方式 ,主动 模式 ), 另 一 种 方式 叫 作 Passive( 也 就 是 PASV ,被 动 模式 )。Standard 模 
式 FTP 的 客户 端 发 送 PORT 命令 到 FTP 服务 器 ,Passive 模式 FTP 的 客户 端 发 送 PASV 
命令 到 FTP 服务 器 。 

当 FTP 工作 在 主动 模式 时 ,客户 端 首先 和 服务 器 的 TCP 21 端口 建立 连接 ,通过 这 个 
通道 发 送 PORT 命令 (命令 包含 了 客户 端 用 什么 端口 接收 数据 )。 在 传送 数据 的 时 候 , 服 务 
器 端 通过 自己 的 TCP 20 端口 连接 至 客户 端的 指定 端口 发 送 数据 , 即 主动 模式 下 ,FTP 服务 
器 必须 和 客户 端 建立 一 个 新 的 连接 用 来 传送 数据 。 

当 FTP 工作 在 被 动 模式 时 ,客户 端 通过 服务 器 的 TCP 21 端口 建立 连接 后 发 送 的 不 是 
Port 命令 ,而 是 Pasv 命令 。 当 服务 器 收 到 Pasv 命令 后 ,随机 打开 一 个 高 端 端口 (端口 号 大 
于 1024) 并 且 通 知客 户 端 在 这 个 端口 上 传送 数据 的 请 求 ,随后 客户 端 连 接 FTP 服务 器 的 此 
端口 进行 数据 的 传送 , 即 被 动 模式 下 ,FTP 服务 器 不 再 需要 建立 一 个 新 的 和 客户 端 之 间 的 


4.4.7 POP3/ SMTP IMAP 


电子 邮件 (Electronic mail ,E-mail) 作 为 最 基本 的 互联 网 沟通 类 应 用 之 一 ,普及 率 仍然 
较 高 , 它 使 人 们 得 以 快速 与 世界 上 任何 一 个 角落 的 网 络 用 户 联系 ,其 内 容 可 以 是 文字 、 图 像 、 
声音 等 多 种 形式 。 电 子 邮 件 可 以 通过 客户 端 ,使 用 POP3/IMAP、SMTP 协议 来 收发 电子 
邮件 。 

SMTP(Simple Mail Transfer Protocol) 协议 可 以 保证 电子 邮件 可 靠 高 效 的 传送 。 
SMTP 协议 是 存储 转发 协议 ,能 够 提供 通过 一 个 或 多 个 中 继 SMTP 服务 器 传送 邮件 。 中 继 
服务 器 接收 原始 邮件 ,然后 尝试 将 其 传递 至 目标 服务 器 ,或 重 定向 至 另 一 中 继 服 务 器 ,最 终 
把 邮件 寄 到 收 信人 的 服务 器 上 。 

POP3 协议 (Post Office Protocol 3) 是 C/S 结构 的 脱 机 模型 的 电子 邮件 协议 ,规定 邮件 
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接收 节点 如 何 连接 邮件 服务 器 进行 邮件 接收 和 管理 的 协议 ,能 够 远程 从 服务 器 上 收取 邮件 
到 本 地 ,同时 根据 客户 端 操作 删除 或 保留 服务 器 上 的 邮件 。 

IMAP 协议 (Internet Mail Access Protocol) ,与 POP3 协议 的 主要 区 别 是 可 以 提供 给 
用 户 更 全 面 的 邮箱 管理 功能 。 


4.4.8 Whois 


Whois 是 用 来 查询 域名 的 IP 以 及 所 有 者 等 信息 的 协议 ,用 来 查询 域名 是 否 已 经 被 注 
册 , 以 及 注册 域名 的 详细 信息 的 数据 库 ( 如 域名 所 有 人 、 域 名 注册 商 ) ,通常 使 用 TCP 协议 
43 端口 9。 

根据 IETF 标准 要 求 ,Whois 服务 一 般 由 Whois 系统 来 提供 。Whois 系统 是 一 个 客户 
端 /服务 器 系统 。 客 户 端 负责 如 下 工作 : 

(1) 提供 访问 Whois 系统 的 用 户 接口 ; 

(2) 生成 查询 并 将 其 以 适当 的 格式 传送 给 服务 器 ; 

(3) 接收 服务 器 传 回 的 响应 ,并 以 用 户 可 读 的 形式 输出 。 

服务 器 端 主要 负责 接收 客户 端的 请 求 并 发 回响 应 数据 。 

区 域 互联 网 注册 管理 机 构 (Regional Internet Registry, RIR) 是 管理 世界 上 各 特定 地 区 
Internet 资源 的 组 织 。 现 在 世界 上 有 五 个 正在 运作 的 区 域 互联 网 注册 管理 机 构 。 亚 洲 国 
家 ,大洋洲 国家 的 IP 地 址 信息 和 Whois 数据 库 由 APNIC( 亚 太 互 联网 络 信息 中 心 ) 维 护 。 
APNIC 的 Whois 数据 库 主 要 对 象 类 型 如 表 4. 7 所 示 。 

表 4.7 APNIC 数据 库 主要 对 象 类 型 


对 象 用 途 
Person 联络 人 
Role 联络 团体 /角色 
Inetnum IPv4 地 址 分 配 与 指派 
Inet6num IPv6 地 址 分 配 与 指派 
Aut-num 自治 系统 号 码 
Domain 反 向 域名 
Route 通告 地 址 前 级 
Mnter 维护 者 


APNIC 向 所 有 公众 用 户 开放 ,互联 网 用 户 可 通过 其 网 址 9 查询 相关 地 址 注册 信息 。 


四 Whois (EB/OL), 百度 百科 . http://baike. baidu. com/link? url 二 R3G7WQJvUOFQ6vQOSBnRwR7Ve 
MaqcymTdqZJR9RoD9t Mg75Lals8ZBMIASbJiyJzehccQVHoLCc7y3HyAb5mhUa 
©@ http://wq. apnic. net/apnic-bin/whois. pl 
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4.4.9 ARP 


ARP(Address Resolution Protocol, 地 址 解析 协议 ) 实 现 通过 IP 地 址 获得 其 物理 地 址 。 
在 TCP/IP 网 络 环境 下 ,每 个 主机 都 分 配 有 一 个 32 位 的 耳 地 址 ,该 地 址 用 于 标识 主机 的 逻 
辑 地 址 。 为 了 让 报 文 在 物理 网 络 上 传送 ,必须 知道 对 方 目 的 主机 的 物理 地 址 , 即 必须 通过 
ARP 将 目的 主机 的 32 位 IP 地 址 转换 成 为 48 位 物理 地 址 。 
每 一 个 主机 都 设 有 一 个 ARP 高 速 缓存 (ARP Cache) ,里面 有 所 在 的 局 域 网 上 的 各 主机 
和 路 由 器 的 IP 地 址 到 物理 地 址 的 映射 表 。 当 主机 A(IP 地 址 : 209. 0. 0.5) 欲 向 本 局 域 网 内 
的 某 个 主机 B(IP 地 址 : 209. 0. 0.6) 发 送 IP 数据 报时 ,就 先 在 其 ARP 高 速 缓存 中 查看 有 无 
主机 也 的 耳 地 址 。 如 果 有 ,就 可 查 出 其 对 应 的 物理 地 址 ,再 将 此 地 址 写 和 人 MAC 帧 ,然后 通 
过 局 域 网 将 该 MAC 帧 发 往 此 物理 地 址 。 如 果 没 有 ,如 图 4. 35 所 示 ,主机 A 将 广播 ARP 请 
求 分 组 (request packet) ,只 有 主机 B 响应 该 请 求 ,并 将 自己 的 物理 地 址 08-00-2B-EE-0A 发 
送 给 A。 


主机 A 广播 发 送 - - 
ARP 请 求 分 组 | Bae TAY | 
和 我 想 知道 主机 209.0.0.6 的 硬件 地 址 


| ARP 请 求 ARP 请 求 B LARP 请 求 忆 ”|ARP 请 求 户 


209.0.0. 


09.0.0.5 
x 8 z 


Y 
00-00-C0-15-AD-18 


主机 B 向 A 发 送 
| AR 应 分 组 | 


我 是 209.0.0.6 
硬件 地 址 是 08-00-2B-00-EE-0A, 


209.0.0.6 


00-00-C0-15-AD-18 08-00-2B-00-EE-0A 


图 4.35 ARP 协议 


ARP 能 够 解决 同一 个 局 域 网 内 的 主机 或 路 由 器 的 IP 地 址 和 物理 地 址 的 映射 问题 。 如 
果 所 要 找 的 主机 和 源 主机 不 在 同一 个 局 域 网 上 ,就 要 通过 ARP 找到 一 个 位 于 本 局 域 网 上 
的 某 个 路 由 器 的 物理 地 址 ,然后 把 分 组 发 送 给 这 个 路 由 器 ,让 这 个 路 由 器 把 分 组 转发 给 下 一 
个 网 络 , 剩 下 的 工作 就 由 下 一 个 网 络 来 做 。 因 此 ,使 用 ARP 时 有 以 下 四 种 典型 情况 : 

(1) 发 送 方 是 主机 ,发 送 到 本 网 络 上 的 另 一 个 主机 。 

(2) 发 送 方 是 主机 ,要 把 下 数据 报 发 送 到 另 一 个 网 络 上 的 一 个 主机 。 此 时 用 ARP 找 
到 本 网 络 上 的 一 个 路 由 器 的 物理 地 址 。 

(3) 发 送 方 是 路 由 器 ,要 把 下 数据 报 转发 到 本 网 络 上 的 一 个 主机 。 
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(4) 发 送 方 是 路 由 器 ,要 把 耳 数据 报 转发 到 另 一 个 网 络 上 的 一 个 主机 。 此 时 用 ARP 
找到 本 网 络 上 的 一 个 路 由 器 的 物理 地 址 。 


4.4.10 DHCP 


DHCP(Dynamic Host Configuration Protocol, 动 态 主 机 配置 协议 ) 通 常 被 应 用 在 大 型 
的 局 域 网 络 环境 中 , 它 是 应 用 层 的 协议 ,主要 作用 是 集中 地 管理 ,分 配 IP 地 址 ,使 网 络 环境 
中 的 主机 动态 地 获得 IP 地 址 、Gateway 地 址 .DNS 服务 器 地 址 等 信息 ,并 能 够 提升 地 址 的 
使 用 率 。 

DHCP 协议 采用 客户 端 / 服 务 器 模型 , 主机 地 址 的 动态 分 配 任务 由 网 络 主机 驱动 。 当 
DHCP 服务 器 接收 到 来 自 网 络 主机 申请 地 址 的 信息 时 , 才 会 向 网 络 主机 发 送 相 关 的 地 址 配 
置 等 信息 ,以 实现 网 络 主机 地 址 信息 的 动态 配置 。DHCP 具有 以 下 功能 : 

(1) 保证 任何 他 地 址 在 同一 时 刻 只 能 由 一 台 DHCP 客户 机 所 使 用 ; 

(2) DHCP 可 以 给 用 户 分 配 永久 固定 的 IP 地 址 ; 

(3) DHCP 可 以 同 使 用 其 他 方法 获得 IP 地 址 的 主机 共存 (如 手工 配置 IP 地 址 的 
主机 ) 。 

DHCP 有 三 种 机 制 分 配 IP 地 址 : 

(1) 自动 分 配方 式 (Automatic Allocation) ,DHCP 服务 器 为 主机 指定 一 个 永久 性 的 下 
地 址 ,一 旦 DHCP 客户 端 第 一 次 成 功 从 DHCP 服务 器 端 租用 到 IP 地 址 后 ,就 可 以 永久 性 地 
使 用 该 地 址 。 

(2) 动态 分 配方 式 (Dynamic Allocation) ,DHCP 服务 器 给 主机 指定 一 个 具有 时 间 限 制 
的 IP 地址 ,时 间 到 期 或 主机 明确 表示 放弃 该 地 址 时 ,该 地 址 可 以 被 其 他 主机 使 用 。 

(3) 手工 分 配方 式 (Manual Allocation) ,客户 端的 IP 地 址 是 由 网 络 管理 员 指 定 的 ， 
DHCP 服务 器 只 是 将 指定 的 IP 地 址 告诉 客户 端 主机 。 

在 三 种 地 址 分 配方 式 中 ,只 有 动态 分 配 可 以 重复 使 用 客户 端 不 再 需要 的 地 址 ,而 且 在 局 
域 网 中 使 用 路 由 器 时 动态 分 配 非常 普遍 。 在 这 种 情况 下 ,需要 到 路 由 器 中 查看 DHCP 分 配 
日 志 才 能 确定 内 网 的 计算 机 设备 的 IP 地址 。 


4.4.11 RADIUS 


RADIUSCRemote Authentication Dial In User Service) 是 远程 认证 拨号 用 户 服务 的 简 
称 , 是 一 种 C/S 结构 的 协议 。RADIUS 设计 的 初衷 是 对 拨号 用 户 进行 认证 和 计 费 ,后 经 过 
多 次 改进 ,形成 了 一 项 通用 的 认证 计 费 协议 .与 AAA (Authentication Authorization 
Accounting) 配 合 , 主 要 完成 在 网 络 接 入 设备 和 认证 服务 器 之 间 传 输 认证 ,授权 、 计 费 和 配置 
信息 。RADIUS 位 于 UDP 之 上 ,官方 指定 的 认证 授权 端口 是 1812, 计 费 端口 是 1813。 
RADIUS 协议 在 RFC2865、RFC2866 中 定义 。 

AAA 是 一 个 用 来 对 验证 ,授权 、 计 费 三 种 安全 功能 进行 配置 的 管理 框架 。 图 4. 36 为 
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AAA 管理 框架 的 具体 实现 , 当 客 户 端 (PC) 要 通过 局 域 网 与 NAS(Network Access Server， 
网 络 接 入 服务 器 ) 建 立 连接 ,从 而 获得 访问 Internet 的 权限 ,或 要 取得 使 用 某 些 网 络 资源 的 
权限 时 ,NAS 起 到 了 验证 客户 端 和 建立 连接 的 作用 。NAS 负责 把 客户 端的 验证 ,授权 和 计 
费 信息 传送 给 RADIUS 认证 和 计 费 服务 器 ,RADIUS 协议 规定 了 NAS 与 RADIUS 服务 器 
之 间 如 何 传递 用 户 信息 和 计 费 信息 。 服 务 器 负责 接收 客户 端的 连接 请 求 、 完 成 验证 并 把 客 
户 端 所 需 的 配置 信息 返回 给 NAS。NAS 和 服务 器 之 间 的 验证 信息 的 传递 是 通过 密 钥 来 完 
成 的 。AAA 的 工作 过 程 描述 如 下 


L - RADIUS 
BW hi 


| 认证 服务 器 


| 计 旨 服务 器 


图 4.36 AAA 的 实现 


(1) 客户 端 向 NAS 发 出 网 络 连接 请 求 ; 

(2) NAS 收集 客户 端 输入 的 用 户 名 和 口令 ,并 转发 给 认证 服务 器 ; 

(3) 认证 服务 器 按照 一 定 算法 与 自身 数据 库 信息 进行 匹配 ,然后 将 结果 返回 给 NAS， 
结果 可 能 是 接受 .拒绝 或 其 他 ; 

(4) NAS 根据 返回 的 结果 决定 接 通 或 者 断 开 客户 端 用 户 , 如 果 认 证 通过 则 继续 后 续 
步骤 ; 

(5) 服务 器 对 客户 端 进行 授权 ,NAS 根据 授权 结果 对 客户 端 上 网 环境 进行 配置 ; 

(6) 如 需 计 费 ,NAS 将 记录 客户 端 使 用 网 络 资源 的 情况 ,并 将 数据 送 交 计 费 服务 器 。 


4.5 网络 应 用 概述 


网 络 应 用 是 为 网 民 提供 各 种 上 网 服务 的 软件 和 程序 ,用 于 提供 或 获取 网 络 上 的 共享 资 
源 。 自 互联 网 产生 以 来 ,从 最 初 通过 数字 计算 机 进入 互联 网 ,到 如 今 通过 各 种 移动 终端 实施 
各 种 网 络 操作 ,网 络 应 用 的 深度 和 广度 都 在 不 断 推 进 。 

用 户 的 网 络 行为 基于 网 络 应 用 而 产生 ,因此 也 必然 在 网 络 应 用 中 留 下 痕迹 。 本 节 的 教 
学 目标 是 对 常用 网 络 应 用 进行 介绍 ,为 达到 深入 了 解 网 络 行为 轨迹 提供 基础 。 


4.5.1 网 络 应 用 架构 
网 络 的 应 用 程序 ,基本 以 两 种 架构 形式 出 现 : C/S 和 B/S 架构 。 
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1. CS 架构 

C/S 架构 即 客户 端 / 服 务 器 (Client/Server) 结 构 , 工 作 任 务 合理 分 配 到 客户 端 (Client) 
和 服务 器 端 (Server) ,降低 了 系统 的 通信 开销 。 客 户 端 和 服务 器 端的 程序 不 同 ,用 户 的 程序 
主要 在 客户 端 ,服务 器 端 主要 提供 数据 管理 ,数据 共享 数据 及 系统 维护 和 并 发 控制 等 ,客户 
端 程序 主要 完成 用 户 的 具体 业务 。C/S 需 在 本 地 机 器 上 安装 客户 端 才 可 进行 操作 。C/S 架 
构 的 数据 分 别 保存 在 客户 机 和 服务 器 上 ,主要 应 用 于 网 络 聊天 数据库 服务 等 网 络 应 用 中 。 

2. BS 架构 

B/S 架构 即 浏览 器 /服务 器 (Browser/Server) 结 构 , 是 随 着 网 络 技术 的 兴起 ,对 C/S 结 
构 的 一 种 变化 或 者 改进 的 结构 。 在 这 种 结构 下 ,用户 界面 完全 通过 浏览 器 实现 ,不 需要 在 本 
地 安装 应 用 程序 ,使 用 非常 方便 ,所 有 的 数据 都 保存 在 服务 器 端 。 主 要 应 用 于 网 站 、 办 公 系 
统 等 需要 异地 使 用 、 跨 平台 服务 的 系统 中 。 


大 对 网 络 犯罪 现场 进行 侦查 取证 时 ,除了 要 了 解 网 络 拓扑 外 ,还 需要 了 解 
(J 天 | 应 用 系统 的 架构 ,这 样 才能 确切 地 知道 数据 保存 在 哪个 地 方 。 例 如 妹 矣 人 的 


数据 不 一 定 能 保存 在 在 本 地 ,可 能 会 保存 在 网 盘 或 者 公司 OA 中 。 


常识 


4.5.2 Web 服务 


Web 在 网 页 设计 中 为 网 页 的 意思 , 现 广 泛 译作 网 络 、 互 联网 等 技术 领域 。 无 论 是 服务 
器 的 数量 还 是 网 络 信息 流量 , Web 服务 都 在 当前 互联 网 主要 业务 中 占有 绝对 优势 。Web 服 
务 器 一 般 指 网 站 服务 器 ,是 指 驻 留 于 Internet 上 某 种 类 型 计算 机 的 程序 ,可 以 向 浏览 器 等 
Web 客户 端 提供 文档 ,也 可 以 放置 网 站 文件 ,让 全 世界 浏览 ; 可 以 放置 数据 文件 ,让 全 世界 
下 载 。 目 前 最 主流 的 三 个 Web 服务 器 应 用 是 IIS、Apache 和 Nginx。 

1，Web 服务 原理 

1) Web 服务 请 求 内 容 

Web 请 求 的 类 型 按 应 答 内 容 可 分 为 两 类 : 一 类 是 静态 请 求 , 其 应 答 内 容 一 般 不 需要 变 
化 ,如 以 . html 为 后 缀 的 超 文本 文件 ; 另 一 类 是 动态 请 求 ,应答 返 回 给 客户 端的 内 容 是 在 浏 
览 器 访问 Web 服务 器 时 由 应 用 程序 根据 请 求 的 属性 (时 间 、 用 户 等 ) 来 动态 创建 的 。 动 态 请 
求 要 求 Web 服务 器 增加 称 为 CGI(Common Gateway Interface, 公 共 网 关 接 口 ) 的 运行 外 部 
程序 的 机 制 。 

2) Web 服务 响应 处 理 机 制 

目前 的 Web 服务 器 软件 对 HTTP 请 求 的 处 理 有 多 种 不 同 的 机 制 , 所 采用 的 调度 和 资 
源 分 配方 式 也 不 尽 相同 。 当 客户 试图 连接 时 ,服务 器 从 进程 池 中 选择 一 个 空闲 进程 来 接收 
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这 个 请 求 , 并 为 它 提供 服务 ; 当 这 个 进程 完成 服务 时 , 则 被 重新 放 回 进程 池 中 变 成 空闲 进 
程 。Internet 中 应 用 最 广泛 的 Apache 服务 器 就 采用 了 这 种 请 求 处 理 机 制 。 

2. 典型 的 Web 服务 器 软件 

1) IIS 

微软 的 IIS(Internet Information Server) 是 允许 在 公共 Intranet 或 Internet 上 发 布 信 
息 的 Web 服务 器 ,是 目前 最 流行 的 Web 服务 器 产品 之 一 ,很 多 著名 的 网 站 都 是 建立 在 IIS 
的 平台 上 。IIS 提供 了 一 个 图 形 界 面 的 管理 工具 , 称 为 Internet 服务 管理 器 ,可 用 于 监视 配 
置 和 控制 Internet 服务 。 

2) Apache 

Apache 与 Linux 相似 ,Apache 的 成 功 原因 大 部 分 被 归于 其 源 代 码 的 开放 技术 。 
Apache 良好 的 跨 平 台 性 使 开发 者 只 需 对 现 有 的 ApacheWeb 服务 器 进行 较 少 的 开发 和 配置 
工作 ,就 能 够 构建 一 个 可 伸缩 系统 ; 同时 ,Apache 的 结构 和 算法 简单 ,因此 易于 理解 ,也 更 
易 维护 ,系统 稳定 性 也 得 以 提高 。 

3) Nginx 

Nginx 是 一 款 轻 量 级 的 Web 服务 器 / 反 向 代理 服务 器 ,并 在 一 个 BSD-like 协议 下 发 行 。 
由 俄罗斯 的 程序 设计 师 Igor Sysoev 开发 。 其 特点 是 占用 内 存 少 , 并 发 能 力 强 。 中 国 大 陆 使 
用 Nginx 的 网 站 用 户 有 : 百度 .新浪 、 网 易 .腾讯 等 。 

安装 完 Web 服务 器 应 用 后 ,加 载 网 站 文件 , 即 可 以 提供 互联 网 访问 应 用 。 

3. 常见 的 Web 页 面 信息 

Web 网 页 ,是 万 维 网 上 按照 HTML 格式 组 织 起 来 的 文件 ,在 通过 万 维 网 进行 信息 查询 
时 ,以 信息 页 面 的 形式 出 现 ,可 以 包括 图 形 文字、 声音 和 视 像 等 信息 。 

网 页 分 成 三 个 层次 : 结构 层 、 表 示 层 ,行为 层 。 

网 页 的 结构 层 (structural layer) ,由 HTML 或 XHTML 之 类 的 标记 语言 负责 创建 , 构 
成 网 页 的 内 容 和 结构 。 

网 页 的 表示 层 (presentation layer) ,由 CSS 负责 创建 ,表示 以 何 种 样式 和 布局 显示 网 页 
中 的 内 容 。 

网 页 的 行为 层 (behavior layer) ,负责 网 页 应 该 对 事件 做 出 什么 样 的 相应 反应 ,主要 涉 
及 Javascript 语言 和 DOM。 


4.5.3 网 络 浏览 


1. 浏览 器 

浏览 器 是 最 经 常 使 用 到 的 客户 端 程序 ,是 指 可 以 显示 网 页 服务 器 或 者 文件 系统 的 
HTML 文件 (标准 通用 标记 语言 的 一 个 应 用 ) 内 容 .并 让 用 户 与 这 些 文件 交互 的 一 种 软件 。 
一 个 网 页 中 可 以 包括 多 个 文档 ,每 个 文档 均 是 分 别 从 服务 器 获取 的 。 大 部 分 浏览 器 本 身 支 
持 除 HTML 之 外 的 各 种 格式 ,如 JPEG、PNG、GIF 等 图 像 格式 ,并 能 扩展 支持 众多 插件 。 
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另外 ,许多 浏览 器 还 支持 其 他 的 URL 类 型 及 其 相应 的 协议 ,如 FTP、Gopher、HTTPS 
(HTTP 协议 的 加 密 版 本 )。 

互联 网 发 展 的 多 元 化 ,使 得 浏览 器 的 版 本 也 多 有 不 同 。 目 前 PC 端 常 用 常见 的 浏览 器 
有 下 浏览 器 .Chrome 浏览 器 .Firefox 浏览 器 、 邀 游 浏 览 器 .谷歌 浏 览 器 .360 浏览 器 、 腾 讯 
QQ 浏览 器 .Opera 浏览 器 .搜狗 浏览 器 以 及 Safari 浏览 器 。 

移动 端的 浏览 器 发 展 也 很 迅速 ,常见 的 有 UC 手机 浏览 器 .QQ 手机 浏览 器 .百度 浏览 
器 、Opera 浏览 器 和 360 手机 浏览 器 。 

2. 搜索 引擎 

作为 基础 性 应 用 ,搜索 引擎 的 使 用 量 随 着 网 民 数 量 的 增加 而 增加 ,其 服务 和 产品 也 日 益 
多 样 化 ,正在 更 加 全 面 地 覆盖 用 户 的 搜索 请 求 。 目 前 ,国外 使 用 最 广泛 的 搜索 引擎 仍 是 谷 
歌 ,其 次 是 雅虎 和 必 应 。 中 文 搜索 的 龙头 则 是 百度 ,如 图 4. 37 所 示 。 必 应 、360 搜索 、 搜 狗 
等 产品 的 功能 也 在 不 断 丰 富 和 强大 。 

搜索 引擎 的 搜索 服务 从 单一 文字 链 结果 的 展示 方式 转变 为 文字 、 表 格 、 图 片 . 应 用 等 多 
种 方式 的 结合 ,从 关键 词 搜索 转向 自然 语言 搜索 、 图 片 搜索 、 实 体 搜索 ; 另外 通过 优化 算法 
及 用 户 搜索 记录 ,社交 活动 及 地 理 位 置信 息 形 成 了 个 性 化 搜索 。 


@0 
Bai 人 百度 


Coogle 


间 体 中 文 


Google 搜索 手气 不 错 
图 4.37 百度 和 谷歌 搜索 引擎 


3. 论坛 

论坛 (forum) 是 供用 户 查看 发 布 信息 ,进行 聊天 和 讨论 的 一 种 电子 信息 服务 系统 。 在 
微 博 兴 起 之 前 ,论坛 作为 日 常 浏览 新 闻 事件 和 参与 讨论 的 重要 媒介 聚集 了 大 量 的 网 民 , 甚 互 
动 性 强 ,并 且 更 适合 进行 深度 的 讨论 。 严 格 地 说 .论坛 是 一 个 半 封 闭 的 社交 网 络 , 需 要 注册 
和 登录 账号 才 可 以 浏览 一 些 内 容 或 发 言 。 目 前 ,社交 化 论坛 .问答 式 社 区 和 专业 论坛 以 其 弱 
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关系 属性 仍然 吸引 着 大 量 用 户 ,如 百度 贴吧 天涯 和 搜狐 的 区 域 性 (城市 ) 论 坛 .凯迪 、 豆 为 、 
知 乎 等 。 

论坛 中 用 户 的 注册 信息 比较 全 面 地 反映 了 用 户 的 一 些 基 本 信息 和 行为 ,如 用 户 名 、 昵 
称 \ 注 册 时 间 、 上 次 登录 时 间 等 ,也 可 以 看 到 用 户 发 表 的 言论 、 在 什么 时 间 看 过 什么 内 容 、 参 
加 过 哪些 讨论 等 。 
4. 视频 网 站 
中 国 的 网 络 视频 兴起 于 2005 年 ,众多 网 络 视频 公司 纷纷 崛起 。 视 频 网 站 是 指 在 技术 平 
台 支 持 下 ,让 互联 网 用 户 在 线 发 布 .浏览 和 分 享 视频 作品 的 网 络 媒体 ,目前 P2P 和 UGC 
是 最 常见 的 两 种 模式 。 

P2P(Peer to Peer) 视 频 网 站 是 国内 最 早 采 用 的 模式 ,其 优点 是 节省 带宽 。P2P 网 络 电 
视 即 采取 P2P 技术 实现 视频 内 容 的 传播 ,每 个 用 户 均 可 与 其 他 用 户 进 行 直 连 ,可 以 突破 服 
务 器 和 带宽 的 限制 ,使 用 的 用 户 越 多 ,网 络 互联 的 效果 越 好 ,代表 产品 是 PPLIVE、UUSEE、 
PPSTREAM QQLIVE.PPS 等 。 同 样 是 利用 P2P 技术 ,P2P 下 载 观 看 则 改善 了 P2P 下 载 
之 后 才能 观看 的 缺点 ,实现 了 观看 和 下 载 同步 ,代表 产品 有 迅雷 看 看 和 风行 。 

视频 分 享 网 站 也 称 为 UGC(User Generated Content, 用 户 原 创 内 容 ), 靠 网 民 自 创 内 容 
和 分 享 获得 流量 ,其 特点 是 采用 Flash FLV 视频 播放 技术 , 含 视频 上 传 、 分 享 和 评价 等 功 
能 ,其 自 祖 是 Youtube, 国 内 的 优酷 土豆 网 、 酷 六 网 、 六 间 房 和 56. COM 均 采用 这 一 模式 。 
其 优点 是 不 需要 安装 软件 ,通过 网 站 随时 点 击 播放 。 这 类 网 站 的 视频 一 部 分 由 网 站 上 传 ,一 
部 分 由 用 户 上 传 , 因 此 版 本 混乱 。 

另外 ,Hulu@ 模式 也 得 到 了 一 些 中 国 视 频 网 站 的 效仿 ,期 望 提供 正版 内 容 ,由 用 户 付 费 
观看 ,如 爱 奇 艺 。 但 由 于 国内 的 版 权 问题 更 为 复杂 , 爱 奇 艺 采用 的 模式 也 只 能 称 为 仿 Hulu 
模式 。 另 外 ,门户 视频 网 站 (如 新 浪 视频 和 搜狐 视频 ) 以 及 视频 搜索 网 站 (如 UUSEE) 多 集 
合 了 P2P、UGC 和 仿 Hulu 模式 。 


4.5.4 数据 库 


数据 库 (Database) 可 分 为 关系 数据 库 和 非 关 系数 据 库 。 典 型 的 关系 数据 库 有 微软 的 
SQL Server 和 甲骨 文 的 Oracle; 非 关 系数 据 库 种 类 很 多 ,Google 的 BigTable 与 Amazon 的 
Dynamo 是 非常 成 功 的 商业 NoSQL 产品 。 还 有 大 量 开源 的 NoSQL 数据 库 , 如 Facebook 
的 Cassandra、Apache 的 HBase。 

1. SQL Server 

SQL Server 是 由 Microsoft 开发 和 推广 的 关系 数据 库 管理 系统 。 每 个 网 络 用 户 在 访问 


@@ 视频 网 站 [OB/DL], http://baike. baidu. com/link? url = zyQgxcDOy8SbtWoo _H-SvColY8e80RRT5- 
i9IGFol AW535dIpK MhcUNtM{BOBlov47fbS6X_rgvlbARGoxbFtK 
@ 美国 的 一 家 视频 网 站 ,专注 于 长 视频 正版 ,由 专业 媒体 公司 提供 视频 内 容 。 
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SQL Server 数据 库 之 前 ,必须 经 过 两 个 安全 性 阶段 : 一 是 身份 验证 ,验证 用 户 是 否 具有 “ 连 
接 权 ”, 即 是 否 允 许 访问 SQL Server 服务 器 ; 二 是 权限 验证 ,验证 连接 到 服务 器 上 的 用 户 是 
否 具有 “访问 权 ”, 即 是 否 可 以 在 相应 的 数据 库 上 执行 操作 。 

SQL Server 管理 两 种 类 型 的 数据 库 : 系统 数据 库 和 用 户 数据 库 。 系 统 数据 库存 储 
SQL Server 专用 的 用 于 管理 自身 和 用 户 数据 库 的 数据 ,包括 Master、model,tempdb、msdb， 
另外 还 有 自动 创建 的 用 于 学 习 的 数据 库 样 本 Pubs 和 Northwind。SQL Server 将 所 有 数据 
和 数据 库 对 象 存放 在 一 系列 操作 文件 中 ,并 用 文件 和 文件 组 管理 这 些 操作 系统 文件 。 文 件 
分 为 三 种 : 主 文件 ,从属 文 件 和 日 志文 件 。 主 文件 是 一 个 数据 库 的 起 始点 ,扩展 名 为 MDF， 
一 个 数据 库 文 件 有 且 仅 有 一 个 主 文件 。 从 属 文件 的 数目 是 任意 的 ,扩展 名 为 NDF, 和 主 文 
件 一 同 存储 数据 以 及 数据 库 对 象 。 日 志文 件 用 来 存放 数据 库 的 事务 日 志 信息 ,扩展 名 为 
LDF ,一 般 一 个 数据 库 至 少 有 一 个 日 志文 件 , 对 恢复 数据 库 具 有 关键 作用 。 

网 络 用 户 可 以 通过 B/S(CBrowser/Server) 模 式 和 C/S(CClient/Server) 模式 访问 SQL 
Server。 

2. Oracle 

Oracle 数据 库 系 统 是 甲骨 文公 司 提供 的 以 分 布 式 数据 库 为 核心 的 一 组 软件 产品 ,是 目 
前 最 流行 的 C/S 和 B/S 体系 结构 的 数据 库 之 一 。Oracle 数据 库 可 以 分 为 逻辑 (Logical) 结 
构 和 物理 (physical) 结 构 。 物 理 结 构 指 数据 库 中 的 操作 系统 文件 的 集合 ,包括 以 下 三 种 文 
件 : 数据 文件 (data file) ,包含 数据 库 中 实际 数据 ; 重 作 日 志 (Redo Logs) ,包含 对 数据 库 的 
修改 记录 ,可 以 在 数据 失败 后 恢复 ,一 个 数据 需要 至 少 两 个 重 作 日 志文 件 ; 控制 文件 
(Control Files) ,包含 维护 和 检验 数据 库 一 致 性 的 信息 ,一 个 数据 库 需 要 至 少 一 个 控制 文 
件 。 逻 辑 结构 包括 表 空 间 (Table Spaces)、 段 (Segments)、 区 间 (Extents) 和 数据 块 (Data 
Blocks) 。 

3. 非 关 系 型 的 数据 库 

非 关 系 型 数据 库 也 称 为 NoSQL。 随 着 互联 网 Web 2. 0 网 站 的 兴起 ,传统 的 关系 数据 
库 在 应 付 Web 2.0 网 站 ,特别 是 超大 规模 和 高 并 发 的 SNS 类 型 的 Web 2.0 纯 动态 网 站 方 
面 已 经 显得 力不从心 ,暴露 了 很 多 难以 克服 的 问题 ,而 非 关 系 型 的 数据 库 则 由 于 其 本 身 的 特 
点 得 到 了 非常 迅速 的 发 展 。NoSQL 数据 库 的 产生 就 是 为 了 应 对 大 规模 数据 集合 多 重 数据 
种 类 带 来 的 挑战 ,尤其 是 大 数据 应 用 难题 。 非 关系 性 数据 库 主 要 有 以 下 四 大 类 。 

1) 键 值 (Key-Value) 存 储 数据 库 

这 类 NoSQL 数据 库 主要 会 使 用 到 一 个 哈 希 表 , 这 个 表 中 有 一 个 特定 的 键 和 一 个 指针 
指向 特定 的 数据 。Key/value 模型 对 于 IT 系统 来 说 ,其 优势 在 于 简单 . 易 部 署 。 但 是 如 果 
DBA 只 对 部 分 值 进行 查询 或 更 新 .Key/value 就 显得 效率 低下 了 。 例 如 ,Tokyo Cabinet/ 
Tyrant, Redis、Voldemort,Oracle BDB. 

2) 列 存储 数据 库 

这 类 NoSQL 数据 库 通 常 是 用 来 应 对 分 布 式 存 储 的 海量 数据 。 键 仍然 存在 ,但 是 它们 
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的 特点 是 指向 了 多 个 列 。 这 些 列 是 由 列 家 族 来 安排 的 。 例 如 ,Cassandra、HBase、Riak。 

3) 文档 型 数据 库 

文档 型 数据 库 的 灵感 是 来 自 于 Lotus Notes 办 公 软 件 的 ,而 且 它 同 第 一 种 键 值 存储 相 
类 似 。 该 类 型 的 数据 模型 是 版 本 化 的 文档 , 半 结 构 化 的 文档 以 特定 的 格式 存储 ,例如 
JSON。 文档 型 数据 库 可 以 看 作 是 键 值 数 据 库 的 升级 版 ,允许 之 间 嵌 套 键 值 。 而 且 文 档 型 数 
据 库 比 键 值 数 据 库 的 查询 效率 更 高 。 例 如 ,CouchDB、MongoDb。 

4) 图 形 (Graph) 数 据 库 

图 形 结构 的 数据 库 同 其 他 行列 以 及 刚性 结构 的 SQL 数据 库 不 同 , 它 使 用 灵活 的 图 形 模 
型 ,并 且 能 够 扩展 到 多 个 服务 器 上 。NoSQL 数据 库 没有 标准 的 查询 语言 (SQL) ,因此 进行 
数据 库 查 询 需要 制定 数据 模型 。 许 多 NoSQL 数据 库 都 有 REST 式 的 数据 接口 或 者 查询 
API。 例 如 ,Neo4J .InfoGrid .Infinite Graph 。 

4. SQL 语句 

SQL 语言 (Structured Query Language, 结 构 化 查询 语言 ) 是 一 个 综合 的 ,通用 的 关系 
数据 库 语 言 , 其 功能 包括 查询 ,操纵 、 定 义 和 控 制 。SQL 语言 是 目前 应 用 最 为 广泛 的 数据 库 
查询 语言 。 

1) 结构 化 查询 语句 的 基本 语法 

(1) 数据 查询 语言 (Data Query Language .DQL)。 

数据 查询 语言 也 称 为 “数据 检索 语句 ”, 用 于 从 表 中 获得 数据 。 保 留 字 包括 SELECT、 
WHERE、ORDER BY、GROUP BY 和 HAVING。 这 些 DQL 保留 字 常 与 其 他 类 型 的 SQL 
语句 一 起 使 用 。SELECT 是 DQL( 也 是 所 有 SQL) 用 得 最 多 的 保留 字 。 

(2) 数据 定义 语言 (DDL)。 

其 语句 包括 动词 CREATE 和 DROP。 在 数据 库 中 创建 新 表 或 删除 表 (CREAT 
TABLE 或 DROP TABLE) ,为 表 加 入 索引 等 。 

(3) 数据 操作 语言 (Data Manipulation Language.DML) 

保留 字 包 括 INSERT .UPDATE 和 DELETE。 它 们 分 别 用 于 添加 、 修 改 和 删除 表 中 的 
行 。 也 称 为 动作 查询 语言 。 

这 三 类 语言 是 SQL 语言 使 用 最 多 的 语言 应 用 。 除 此 之 外 ,SQL 语言 还 有 事务 处 理 请 
言 (TPL) ,数据 控制 语言 (DCL) 指针 控制 语言 (CCL) 。 

结构 化 查询 语言 主要 使 用 五 种 数据 类 型 : 字符 型 .文本 型 .数值 型 ,逻辑 型 和 日 期 型 。 

2) 结构 化 查询 语句 的 基础 使 用 

基础 的 结构 化 查询 语言 的 查询 可 以 只 包括 SELECT 子 句 \FROM 子 句 和 WHERE 子 
句 。 它 们 分 别 说 明 所 查询 目标 、 查 询 范围 和 查询 条 件 。 简 单 的 查询 语句 即 可 以 完成 大 部 分 
的 警 务 信息 系统 的 查询 应 用 。 

(1) SELECT 和 FROM 子 句 。 

查询 语句 都 要 以 SELECT 开始 ,FROM 子 句 指定 与 查询 相关 的 目标 ( 表 或 视图 )。 在 
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FROM 子 句 中 最 多 可 指定 256 个 表 或 视图 ,它们 之 间 用 逗号 分 隔 。 例 如 ,查询 dlwatest 表 
中 所 有 列 的 数据 。 


SELECT * FROM dlwatest 


(2) WHERE 子 句 。 

在 FROM 子 句 同时 指定 多 个 表 或 视图 时 ,如 果 选 择 列 表 中 存在 同名 列 , 这 时 应 使 用 对 
象 名 限定 这 些 列 所 属 的 表 或 视图 。 需 要 WHERE 子 句 设置 查询 条 件 ,过 滤 掉 不 需要 的 数据 
行 。 例 如 ,查询 dlwatestl 和 dlwatest2 表 list 列 数据 一 致 的 所 有 数据 。 


SELECT * FROM dlwatest1，dlwatest2 WHERE dlwatestl.list= dlwatest2. list 


WHERE 子 句 可 包括 各 种 条 件 运算 符 。 

。 比较 运算 符 ( 大 小 比较 ): 二 .=、=.<.<=.、<>,!>>,!<。 

。 范 围 运 算 符 (表达 式 值 是 否 在 指定 的 范围 ):; BETWEEN… AND…; NOT 
BETWEEN…AND…。 例 如 call BETWEEN 10 AND 30 相当 于 call 二 =10 AND 
call 一 一 30 ,通话 次 数 在 10 和 30 之 间 。 

。 列表 运算 符 ( 判 断 表达 式 是 否 为 列表 中 的 指定 项 ): IN (项 1, 项 2,…); NOT IN 
(项 1, 项 2,…)。 如 bank IN (' 中 国 银行 ',' 民 生 银 行 ) 。 

。 模式 匹配 符 ( 判 断 值 是 否 与 指定 的 字符 通 配 格式 相符 ): LIKE NOT LIKE。 可 使 用 
以 下 通 配 字符 : 

@ 百 分 号 % 一 一 可 匹配 任意 类 型 和 长 度 的 字符 ,如果 是 中 文 ,请 使 用 两 个 百 分 
号 , 即 %%。 

@ 下 夯 线 一 一 匹配 单个 任意 字符 , 它 常 用 来 限制 表达 式 的 字符 长 度 。 

@ 方 括号 [一 一 指定 一 个 字符 .字符 串 或 范围 ,匹配 对 象 为 它们 中 的 任 一 个 。 另 外 ， 
[和 的 取 值 也 和 口 相同 ,匹配 对 象 为 指定 字符 以 外 的 任 一 个 字符 。 

@ 空 值 判 断 符 (判断 表达 式 是 否 为 空 ) 一 -IS NULL.IS NOT NULL。 

@ 逻辑 运算 符 ( 用 于 多 条 件 的 逻辑 连接 ) 一 一 NOT、AND、OR。 

(3) 限制 返回 的 行 数 。 

使 用 TOP n [PERCENT] 选 项 限制 返回 的 数据 行 数 ,TOP n 说 明 返 回 n 行 ,而 TOP n 
PERCENT 时 ,说 明 n 是 表示 一 个 百分数 ,指定 返回 的 行 数 等 于 总 行 数 的 百 分 之 几 。TOP 
命令 仅 针对 MS SQL Server 系列 数据 库 , 并 不 支持 Oracle 数据 库 。 

(4) 查询 结果 排序 。 

使 用 ORDER BY 子 句 对 查询 返回 的 结果 按 一 列 或 多 列 排序 。ORDER BY 子 句 的 语法 
格式 为 : 


ORDER BY {column_name [ASC|DESC]} [, .n] 


其 中 ASC 表示 升序 ,为 默认 值 . DESC 为 降序 。ORDER BY 不 能 按 ntext、 text 和 
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image 数据 类 型 进行 排序 。 

例如 ,SELECT * FROM dlwatest order by call。 按 照 通 话 次 数 升 序 排列 dlwatest 表 
所 有 项 。 

(5) 函数 。 

SQL Aggregate 函数 计算 从 列 中 取得 的 值 ,返回 一 个 单一 的 值 。Aggregate 函数 包括 : 

。 AVG() 一 一 返回 平均 值 ; 

。 COUNT() 一 一 返回 行 数 ; 

。 FIRST() 一 一 返回 第 一 个 记录 的 值 ; 

。 LAST() 一 一 返回 最 后 一 个 记录 的 值 ; 

。 MAX() 一 一 返回 最 大 值 ; 

。 MIN() 一 一 返回 最 小 值 ; 

。 SUM() 一 一 返回 总 和 。 

例如 ,SELECT MAX(call) FROM dlwatest。 提 取 通 话 记录 次 数 最 多 的 项 。 


4.5.5 代理 


代理 (Proxy) 也 称 网 络 代理 ,是 一 种 特殊 的 网 络 服务 ,允许 客户 端 通过 此 服务 与 另 一 个 
网 络 终端 (一 般 为 服务 器 ) 实 现 非 直接 的 连接 。 提 供 代理 服务 的 电脑 系统 或 其 他 类 型 的 网 络 
终端 称 为 代理 服务 器 (Proxy Server) 。 一 个 完整 的 代理 请 求 过 程 是 : 客户 端 首先 与 代理 服 
务 器 建立 连接 ,根据 代理 服务 器 所 使 用 的 代理 协议 ,请 求 与 目标 服务 器 建立 连接 ,获得 目标 
服务 器 的 指定 资源 (如 文件 等 )。 代 理 服务 器 可 能 将 目标 服务 器 的 资源 下 载 至 本 地 缓存 ,如 
果 客 户 端 所 要 获取 的 资源 已 经 位 于 代理 服务 器 的 缓存 之 中 , 则 代理 服务 器 并 不 会 向 目标 服 
务 器 发 送 请 求 , 而 是 直接 返回 缓存 中 的 资源 。 

1. 主要 功能 

(1) 突破 自身 IP 的 访问 限制 ,访问 受 限 制 的 站 点 。 

(2) 访问 一 些 单位 或 团体 的 内 部 资源 ,如 某 大 学 的 FTP, 如 果 在 教育 网 内 使 用 代理 服务 
器 ,就 可 以 用 于 对 教育 网 内 开放 的 各 类 FTP 进行 下 载 和 上 传 , 获 得 各 类 资料 的 查询 共享 等 
服务 。 

(3) 提高 访问 速度 : 通常 代理 服务 器 都 设置 一 个 较 大 的 硬盘 缓冲 区 , 当 有 外 界 的 信息 
通过 时 ,同时 也 将 其 保存 到 缓冲 区 中 。 当 其 他 用 户 再 访问 相同 信息 时 , 则 直接 由 缓冲 区 中 取 
出 信息 传 给 用 户 , 以 提高 访问 速度 。 

(4) 隐藏 真实 卫 : 上 网 者 可 以 通过 这 种 方法 隐藏 自己 的 IP 地 址 , 免 受 攻击 。 

2. 代理 分 类 

1) 按 匿名 功能 分 类 

按 是 否 具有 隐藏 IP 的 功能 ,代理 服务 器 分 为 非 匿名 代理 、 匿 名 代理 和 高 度 匿名 代理 。 
非 匿名 代理 不 具有 匿名 功能 ; 匿名 代理 使 被 访问 的 网 站 无 法 知道 访问 者 的 IP 地址 ,但 仍 可 
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以 知道 其 在 使 用 代理 服务 器 ; 高 度 匿名 代理 则 会 使 被 访问 网 络 无 法 获得 访问 者 的 IP 地 址 ， 
同时 也 无 法 获知 其 在 使 用 代理 服务 器 。 

2) 按 代理 服务 器 的 用 途 分 类 

HTTP 代理 : 主要 代理 浏览 器 访问 网 页 , 它 的 端口 一 般 为 80、8080、3128 等 。 

SSL 代理 : 支持 最 高 128 位 加 密 强 度 的 HTTP 代理 。 可 以 作为 访问 以 https 开始 的 加 
密 网 站 的 代理 。SSL 代理 的 标准 端口 为 443 。 

Socks 代理 ; 全 能 代理 。 支 持 多 种 协议 ,包括 HTTP、FTP 请 求 及 其 他 类 型 的 请 求 。 
Socks 代理 分 为 Socks4 和 Socks5 两 种 类 型 , Socks4 只 支持 TCP 协议 ,而 Socks5 支持 
TCP/UDP 协议 ,还 支持 各 种 身份 验证 机 制 等 。 

其 他 代理 服务 器 类 型 还 有 教育 网 代理 .跳板 代理 ,Flat 代理 .TUNNEL 代理 等 。 


4.5.6 VPN 


VPN(Virtual Private Network ,虚拟 专用 网 ) 是 利用 特殊 协议 将 异地 的 站 点 或 用 户 互 
连 而 形成 的 一 个 具有 私有 (专用 ) 性 网 络 的 技术 。VPN 不 是 使 用 专用 的 私有 线路 ,而 是 使 用 
公共 网 络 基 础 设施 传输 私有 数据 ,这 种 私有 性 是 通过 认证 .加 密 或 路 由 隔离 等 机 制 , 来 保证 
其 承载 的 私有 数据 不 被 未 授权 访问 。 也 就 是 说 ,VPN 没有 自己 的 专用 链 路 和 网 络 基础 设 
施 , 但 通过 VPN 协议 可 以 提供 与 专用 网 络 相 同 的 安全 服务 ,因此 称 为 虚拟 专用 网 。 

1. VPN 的 含义 

VPN 的 主要 目的 是 保护 传输 数据 ,保护 从 信道 的 一 个 端点 到 另 一 个 端点 传输 的 信息 
流 。 在 信道 的 端点 之 前 和 之 后 ,VPN 不 提供 任何 的 数据 包 保护 。VPN 的 基本 含义 包括 下 
面 几 个 方面 ， 

。 Virtual 一 一 利用 公共 网 络 资源 和 设备 建立 一 个 逻辑 上 的 专用 通道 ,提供 和 专用 网 络 
同样 的 功能 。 
Private 一 一 只 有 经 过 授权 的 用 户 才 可 以 使 用 ; 传输 的 数据 经 过 了 加 密 和 认证 ,使 得 
通信 内 容 既 不 可 能 被 第 三 者 修改 ,也 无 法 被 第 三 者 了 解 ,从 而 保证 了 传输 内 容 的 机 
。 Network 一 一 专门 的 组 网 技术 和 服务 。 
2. VPN 的 功能 
VPN 的 基本 功能 至 少 应 包括 : 
。 加 密 数据 。 保 证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 
。 信息 验证 和 身份 识别 。 保 证 信息 的 完整 性 、 合 理性 ,并 能 鉴别 用 户 的 身份 。 
。 提供 访问 控制 。 不 同 的 用 户 有 不 同 的 访问 权限 。 
。 地 址 管理 。VPN 方案 必须 能 够 为 用 户 分 配 专 用 网 络 上 的 地 址 并 确保 地 址 的 安 

全 性 。 


。 密 钥 管理 。VPN 方案 必须 能 够 生成 并 更 新 客户 端 和 服务 器 的 加 密 密 钥 。 
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。 多 协议 支持 。VPN 方案 必须 支持 公共 Internet 网 络 上 普遍 使 用 的 基本 协议 ,包括 
IP IPX 等 。 

3. 根据 网 络 类 型 的 差异 ,VPN 可 分 为 两 种 类 型 : Client-LAN 和 LAN-LAN 类 型 

(1) 用 户 级 别 的 VPN (Client-LAN 类 型 ) 也 称 为 Access VPN, 即 远程 访问 方式 的 
VPN。 它 提供 了 一 种 安全 的 远程 访问 手段 ,例如 ,处 于 异地 的 网 络 用 户 、 有 远程 办 公 需 要 的 
机 构 , 都 可 以 利用 其 实现 对 某 一 内 部 网 络 资源 的 安全 远程 访问 。 

(2) 企业 级 别 的 VPN(LAN-LAN 类 型 )。 用 于 在 企业 内 部 各 分 支 机 构 之 间 , 或 者 企业 
与 其 合作 者 之 间 进 行 网 络 互联 ,可 以 采用 LAN-LAN 类 型 的 VPN, 可 以 利用 基本 的 
Internet 和 Intranet 网 络 建立 物理 连接 ,再 利用 VPN 的 隧道 协议 实现 安全 保密 需要 。 

4. VPN 的 技术 实现 

实现 VPN 的 典型 技术 有 两 种 : 隧道 技术 和 虚拟 路 由 技术 。 

1) 隧道 技术 

采用 “隧道 ”技术 ,可 以 模仿 点 对 点 连接 技术 ,依靠 Internet 服务 供应 商 (ISP) 和 其 他 网 
络 服务 供应 商 (NSP) 在 公用 网 中 建立 自己 专用 的 “隧道 ”, 让 数据 包 通 过 这 条 隧道 传输 。 
VPN 隧道 实际 上 是 通过 采用 某 种 协议 ( 即 隧道 协议 ) 对 网 络 数 据 包 进行 封装 来 提供 安全 性 
的 。 隧 道 技术 将 数据 包 采 用 隧道 协议 进行 重新 封装 ,并 在 公 网 中 传输 。 封 装 后 的 私有 VPN 
数据 仍 采 用 公 网 使 用 的 协议 (如 IP 协议) 进行 传输 ,传输 过 程 对 公 网 节点 (如 路 由 器 ) 透 明 ， 
即 公 网 中 的 路 由 节点 并 不 知道 所 传输 的 数据 是 否 用 于 专用 网 络 ,隧道 技术 如 图 4. 38 所 示 。 

- 股 连 接 通 首 


公共 传输 网 络 


图 4.38 隧道 技术 


2) 虚拟 路 由 技术 

虚拟 路 由 器 (Virtual Router,VR) 是 指 在 软 、 硬 件 层 实现 物理 路 由 器 的 功能 仿真 ,属于 
一 种 逻辑 设备 .每 个 VR 具有 逮 辑 独立 和 相互 隔离 的 IP 路 由 表 和 转发 表 。 从 用 户 角度 出 
发 ,虚拟 路 由 器 的 功能 和 物理 路 由 器 是 相同 的 。 虚 拟 路 由 器 正 是 利用 路 由 信息 隔离 的 特性 
为 VPN 用 户 提供 数据 私有 性 服务 ,使 不 同 VPN 间 的 地 址 空间 可 以 重用 ,并 保证 VPN 内 部 
路 由 和 转发 的 隔离 性 。 

如 图 4. 39 所 示 .VPN-1 和 VPN-2 分 别 连接 在 虚拟 路 由 器 VR-1 和 VR-2 上 ,VR-1 和 
VR-2 的 路 由 表 是 各 自 独 立 并 相互 隔离 的 。 因 此 ,.VPN-1 和 VPN-2 之 间 相 当 于 处 在 两 个 不 
司 子 网 中 。VR-1 的 本 地 和 远程 网 络 之 间 可 以 通过 Internet 交换 路 由 信息 ,相当 于 处 在 同一 
个 子 网 中 ,可 以 互相 访问 。 无 论 是 本 地 还 是 远程 的 VR-2 连接 的 网 络 用 户 都 不 能 访问 VR-1 
网 络 的 数据 ,因为 他 们 没有 该 网 络 的 路 由 信息 。 
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图 4.39 虚拟 路 由 技术 


随 着 VPN 业务 的 快速 发 展 以 及 VPN 技术 越 来 越 普及 ,利用 VPN 技术 实施 网 络 犯罪 
的 不 法 分 子 也 随 之 增多 。 不 法 分 子 往往 借助 VPN 网 络 隐 匿 其 使 用 计算 机 的 踪迹 ,侵入 计 
算 机 信息 系统 ; 或 者 利用 VPN 隧道 技术 加 密 传输 的 特性 翻 墙 访问 境外 非法 网 站 ,获取 大 量 
虚假 有 害 信息 并 在 国内 网 络 传播 ,给 国家 安全 和 社会 稳定 造成 了 巨大 威胁 。 


as PP 


P2P 技术 是 相对 于 C/S( 客 户 端 /服务 器 ) 模 式 而 言 的 一 种 网 络 信息 交换 方式 。P2P 指 
的 是 对 等 网 络 ,网 络 两 个 节点 之 间 是 完全 对 等 的 点 与 点 关系 ,双方 或 多 方 相 互 依赖 和 互相 支 
持 , 没 有 单 向 依赖 关系 。 人 允许 网 络 用 户 直接 使 用 对 方 的 文件 ,每 个 用 户 可 以 直 连 到 其 他 用 户 
的 计算 机 并 进行 文件 交换 ,并 不 需要 连接 到 服务 器 再 进行 浏览 和 下 载 ,也 就 是 说 ,P2P 网 络 
中 的 每 个 节点 既 可 以 从 其 他 节点 获得 服务 ,也 可 以 向 其 他 节点 提供 服务 。 

P2P 已 经 广泛 地 应 用 在 了 分 布 式 计算 文件 共享 、 流 媒体 直播 和 广播 .语音 通信 和 在 线 
游戏 平台 中 。P2P 的 典型 应 用 是 BT 和 eMule。 


4.5.8 即时 通信 


即时 通信 (Instant Messaging,IM) ,也 称 实时 通信 .是 指 能 够 通过 有 线 或 无 线 设备 登录 
互联 网 ,能 够 即时 发 送 和 接收 互联 网 消息 的 ,允许 两 人 或 多 人 使 用 网 络 实时 地 传递 文字 消 
息 、 文 件 , 语 音 和 视频 交流 D 的 软件 。 互 联网 上 出 现 过 很 多 实时 通信 服务 ,如 Windows Live 
Messenger、AOL Instant Messenger( 也 称 AIM 即时 通 )、ICQ、Skype、WhatsApp、Yahoo! 
Messenger。 国 内 IM 服务 市 场 上 也 有 很 多 代表 性 产品 ,如 腾讯 QQ、 微 信 (Wechat)、 网 易 泡 
泡 ,淘宝 旺旺 .中 国 移动 的 飞信 等 .但 目前 最 具 实 力 的 则 仍 是 QQ 和 微 信 。 随 着 移动 互联 网 


中 ”即时 通信 LOL/EBj], http://zh. wikipedia. org/ wiki/ 即 时 通信 。 
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发展 ,互联 网 即时 通讯 也 扩展 到 了 移动 端 ,专门 针对 移动 设备 开发 的 移动 即时 通信 工具 
(Mobile Instant Messaging. 即 MIM) 也 已 经 产生 了 较 大 的 影响 ,如 微 信 、 易 信 、 来 往 等 工具 。 
除了 可 以 实时 传送 文字 、 音 视频 和 文件 等 功能 ,IM 还 可 以 实现 远程 协助 ,程序 共享 、 脱 
离 手 机 发 送 短 信 、 消 息 群 发 . 群 组 聊天 、 网 盘 \ 个 性 化 状态 显示 等 功能 。 其 中 , 微 信 则 既 有 IM 
属性 ,也 有 SNS 等 熟人 网 络 的 属性 ,还 有 定位 于 虚拟 身份 的 网 络 社区 的 属性 。 

移动 即时 通讯 由 于 随身 、 随 时 、 可 提供 用 户 位 置 以 及 其 社交 属性 ,目前 正在 演变 成 支付 、 
游戏 .O20O 等 高 附加 值 业务 的 用 户 入口 。 


4.5.9 社交 网 络 


社交 网 络 即 社交 网 络 服务 (Social Network Service,SNS) ,也 称 社会 性 网 络 服务 或 社会 
化 网 络 服务 ,其 含义 包含 了 硬件 软件、 服务 及 应 用 。 社 交 网 络 依照 六 度 分 割 理论 ,基于 用 户 
真实 社交 关系 提供 沟通 和 交流 的 社交 网 站 平台 。 美 国 最 受 欢迎 (以 用 户 数量 计算 ) 的 社交 网 
络 产 品 包括 Facebook、Twitter、LinkedIn、PinterestInstagram 等 ,国内 这 类 网 站 主要 包括 
QQ 朋友 网 、 人 人 网 、 开 心 网 .豆瓣 网 等 。 

同 IM 一 样 ,社交 网 络 也 在 向 移动 端 发 展 。 移 动 社交 网 络 , 是 指 通 过 手机 平板 电脑 等 
移动 设备 访问 社交 网 站 ,访问 手段 既 包 括 通过 网 页 访问 ,也 包括 通过 社交 网 站 专门 为 移动 终 
端 推出 的 客户 端 ,如 陌 陌 。 据 2014 年 的 报告 ,手机 成 为 人 们 访问 社交 网 站 的 主要 设备 ， 
90.1% 的 用 户 会 用 手机 访问 社交 网 络 中 。 

社交 网 络 基于 强 关 系 , 其 间 的 联系 人 多 为 现实 生活 中 的 同学 、 朋 友 、 亲 人 和 亲戚 ,是 熟人 
关系 链 的 在 线 交 互 。 因 此 在 侦查 时 必须 要 针对 社交 网 络 开 展 工作 ,以 找到 嫌疑 人 的 社会 关 
系 网 。 


4.5.10 微 博 


与 IM 和 SNS 一 样 , 微 博 也 具有 社交 的 属性 。 微 博 , 即 微 博 客 (Micro Blog) 的 简称 ,是 
一 个 基于 用 户 关系 的 信息 分 享 、 传 播 以 及 获取 平台 ,用 户 可 以 通过 Web、WAP 以 及 各 种 客 
户 端 组 建 个 人 社区 ,以 140 字 左 右 的 文字 更 新 信息 ,并 实现 即时 分 享 。 

2009 年 以 来 , 随 着 新 浪 、 网 易 、 搜 狐 等 综合 门户 网 站 开通 微 博 , 一 些 垂直 门户 微 博 、 新 闻 
网 站 微 博 、 电 子 商 务 微 博 、.SNS 微 博 、 独 立 微 博 客 网 站 也 加 入 微 博 业 务 。 但 发 展 至 今 ,新 浪 
微 博 一 家 独 大 ,已 经 成 为 微 博 的 代名词 。 


4.5.11 电子 商务 
电子 商务 是 以 信息 网 络 技术 为 手段 ,以 商品 交换 为 中 心 的 商务 活动 ; 也 可 理解 为 在 互 


9 2014 年 中 国 社交 类 应 用 用 户 行为 研究 报告 LEB/OL]，http://wenku. baidu. com/link? url= 9ikARG7 _305eh- 
GBLA6na5l_jyMO_SCtzloXLOJgY7LPsb6Ivoub_q9O_Xngck0CSOAGZUijiqMfyLGld862-OXK_Lh3Z5eUy8O73DC2JITu _ 
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联网 (Internet) ,企业 内 部 网 (Intranet) 和 增值 网 (Value Added Network,VAN) 上 以 电子 交 
易 方 式 进行 交易 活动 和 相关 服务 的 活动 。 电 子 商 务 基 于 浏览 器 /服务 器 应 用 方式 ,买卖 双方 
不 谋面 地 进行 各 种 商贸 活动 ,实现 消费 者 的 网 上 购物 、 商 户 之 间 的 网 上 交易 和 在 线 电 子 支付 
以 及 各 种 商务 活动 .交易 活动 .金融 活动 和 相关 的 综合 服务 活动 0。 

电子 商务 的 核心 是 网 上 购物 ,网 上 购物 平台 是 基于 互联 网 ,为 促成 买卖 双方 交易 而 建立 
的 平台 。 随 着 人 们 网 上 购物 需求 的 增 大 ,网 店 交易 日 益 活 跃 ,互联 网 商品 的 搜索 和 购物 逐渐 
成 为 网 民 的 习惯 ,并 且 移 动 网 购 、 跨 境 网 购 和 农村 网 购 已 经 成 为 新 的 增长 点 。 网 上 购物 行为 
不 仅 促进 了 网 上 购物 平台 的 壮大 ,还 催生 了 网 上 支付 .第 三 方 支付 等 新 的 产业 ,以 及 与 之 相 
关 的 服务 (如 商品 搜索 、 物 流 ) 、 职 业 和 行为 (其 中 不 乏 虚假 交易 、 销 赃 洗 钱 等 不 法 行为 ) 的 发 
展 和 产生 。 

主流 的 网 上 购物 平台 按照 运营 方 是 否 参与 生产 和 销售 ,可 以 分 成 三 类 。 第 一 类 平台 
作为 第 三 方 交易 的 担保 和 监督 方 ,淘宝 .EBAY 、 阿 里 巴巴 等 属于 这 一 类 型 ; 第 二 类 平台 既 
是 产品 的 销售 方 也 是 卖方 ,如 早期 的 亚马逊 .当当 网 .京东 商城 ; 第 三 类 一 般 指 一 些 企业 的 
自 有 商城 ,生产 和 销售 方 都 是 企业 自身 。 随 着 平台 开放 程度 的 加 大 ,第 二 类 平台 已 经 与 第 一 
类 平台 接近 。 

支付 系统 是 网 上 购物 的 关键 ,网 上 购物 促进 了 支付 方式 的 变革 。 目 前 网 购 的 支付 方式 
很 多 ,其 中 最 常用 的 方式 是 网 上 银行 。 

网 上 银行 是 指 银 行 通过 信息 网 络 提 供 的 金融 服务 ,包括 传统 银行 业务 和 新 兴业 务 , 包 括 
开户 、 查 询 、 对 账 转 账 、 信 贷 、 网 上 证 券 、 投 资 理财 等 。 网 上 银行 使 用 的 是 安全 性 更 高 的 
HTTPS(Secure Hypertext Transfer Protocol, 安 全 超 文本 传输 协议 ) 协 议 ,其 应 用 了 SSL 
(Secure Socket Layer, 安全套 接 层 协议 ) 作 为 HTTP 应 用 层 的 子 层 ,使 用 443 端口 来 和 
TCP/IP 进行 通信 。 

网 上 购物 的 非 接触 性 以 及 同步 交换 的 需求 ,使 得 第 三 方 支付 应 运 而 生 , 成 为 网 购 双 方 资 
金 支付 的 “中 间 平 台 ”, 通 过 支付 托管 实现 支付 保证 。 目 前 国内 第 三 方 支付 平台 有 银联 商务 、 
支付 宝 、 财 富 通 、 银 联 在 线 \ 快 钱 , 汇 付 天 下 、 易 宝 支付 .通联 支付 、 环 迅 支付 、 拉 卡拉 ,Paypal、 
宝 付 、 乐 富 等 。 

值得 关注 的 是 , 随 着 移动 支付 技术 与 设备 的 日 益 完 善 , 移 动 支付 逐渐 被 越 来 越 多 的 用 户 
所 接受 。 移 动 支付 也 称 为 手机 支付 ,就 是 允许 用 户 使 用 其 移动 终端 (通常 是 手机 ) 对 所 消费 
的 商品 或 服务 进行 账 务 支付 的 一 种 服务 方式 乙 。 移动 支 付 , 有 时 也 称 为 手机 支付 ,其 移动 终 
端 可 以 是 手机 、 平 板 电脑 等 。 目 前 移动 支付 的 方法 有 短信 支付 、 扫 码 支付 ,指纹 支付 和 声波 


学 


@ 电子 商务 [ EB/OL ], http://baike. baidu. com/link? url = YQLslt2aRi890d5hGKNOkOjI6ATAiRx — 
GrvLkPegQX4pG5r966FD462upTZ83x-WIpwibzfbCJ410STzIpvRZa 

回 移动 支付 LEB/OL], http://baike. baidu. com/link?url = JMw9Vp6ZN-u _5IDiLfzJcmlGOxNoevUGMM 
BHETeBKdVxgrfTgs6w2Qp_YQhnN4Ywl8ANtqfTu26fFHLbRz79q 
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网 盘 , 又 称 网 络 U 盘 、 网 络 硬盘 ,是 在 线 存 储 服务 ,向 用 户 提供 文件 的 存储 ,访问 、 备 份 、 
共享 等 文件 管理 功能 VD。 网 盘 使 人 们 不 必 随 身 携带 电脑 或 口 盘 ,只 要 可 以 连接 到 互联 网 就 
可 以 管理 .编辑 网 盘 里 的 文件 。 目 前 国内 网 盘 产 品 有 百度 网 盘 、360 云 盘 、 微 云 . 华 为 网 盘 、 
雷 快 传 . 金 山 快 盘 、 微 盘 等 。 另 外 ,也 有 和 针对 企业 的 网 盘 产 品 ,如 搜狐 企业 网 盘 、 联 想 企业 
盘 等 。 以 往 侦查 的 重心 放 在 本 地 的 存储 中 , 随 着 网 盘 的 增多 ,嫌疑 人 也 会 将 数据 存放 在 网 
盘 上 ,所 以 在 侦查 中 也 要 注意 检查 网 盘 的 内 容 。 

百度 网 盘 包 是 百度 云 服务 中 的 一 个 ,目前 有 Web 版 .Windows 客户 端 .Android 手机 客 
户 端 \IPhone 版 iPad 版 等 。 百 度 网 盘 可 以 由 百度 账号 登录 ,百度 账号 可 由 手机 号 和 电子 邮 
箱 来 申请 ,因此 百度 网 盘 同 时 支持 手机 号 .邮箱 ,账号 登录 。 与 许多 网 站 或 网 络 服务 一 样 , 百 
度 网 盘 也 支持 合作 账号 登录 , 即 可 以 不 注册 百度 账号 而 由 新 浪 微 博 `.QQ 或 人 人 网 等 账号 登 
录 。 百 度 网 盘 的 可 以 分 类 存放 图 片 .文档 .视频 等 文件 ,如 图 4. 40 所 示 。 


| 


加 岗 


是 全 部 文件 半 文 伯 夫 | | 加 离线 T 载 | | 国 和 9 睾 |v| 
国 图 上 全 部 文件 

文档 文件 名 

国 视 晰 国 kpsAgc_22_ Helo 

园 种 了 

音乐 

回 其 它 


图 4.40 百度 网 盘 


4.5.13 网 络 游戏 


网 络 游戏 的 英文 名 称 为 Online Game, 又 称 " 在 线 游 戏 " ,简称 "网 游 ”。 指 以 互联 网 为 传 
输 媒 介 ,以 游戏 运营 商 服务 器 和 用 户 计算 机 为 处 理 终 端 ,以 游戏 客户 端 软 件 为 信息 交互 窗口 
的 旨 在 实现 娱乐 .休闲 、 交 流 和 取得 虚拟 成 就 的 具有 可 持续 性 的 多 人 在 线 游戏 。 截 至 2015 


中 网 盘 LEB/OL], http://baike. baidu. com/link? url 王 WZqleilPFt7k5e9hqSlpycMiTivihNORLslmld4EqeN3nm 
38U8z7kZ_9wu61BmJ4-OXu_e18_DuyAlP3JAum0_ 
回 百度 云 网 盘 http://pan. baidu. com, 
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年 6 月 ,网 络 游戏 用 户 规模 达到 了 3. 80 亿 , 其 中 手机 网 络 游戏 用 户 规模 为 2. 67 亿 。 

1. 网 络 游戏 的 分 类 

网 络 游戏 通常 有 客户 端 和 浏览 器 两 种 游戏 形式 ,可 分 为 休闲 网 络 游戏 .网络 对 战 类 游 
戏 、 角 色 扮 演 类 大 型 网 上 游戏 和 功能 性 网 游 四 种 类 型 。 

休闲 网 络 游戏 , 即 登 录 游 戏 平 台 网 页 或 程序 后 进行 双人 或 多 人 对 弈 的 网 络 游戏 ,如 传统 
棋牌 类 游戏 和 通过 桌 游 改 编 的 三 国 杀 等 游戏 。 

网 络 对 战 类 游戏 ,是 指 玩家 通过 安装 支持 局 域 网 对 战功 能 游戏 ,通过 网 络 中 间 服 务 器 实 
现 对 战 ,主要 网 络 平台 是 盛大 、 腾 讯 等 ,代表 游戏 是 CS、 星 际 争霸 、 魔 兽 争 霸 。 

角色 扮演 类 大 型 网 上 游戏 , 即 通过 扮演 某 一 角色 ,通过 任务 的 执行 ,使 其 提升 等 级 、 找 到 
宝物 等 ,代表 游戏 是 大 话 西游 .月 光 宝 盒 等 ,主要 的 网 络 平台 是 盛大 等 。 

功能 性 网 游 由 非 网 游 类 公司 发 起 , 借 网 游 的 形式 来 实现 特定 的 功能 ,如 实现 军事 训练 用 
途 等 。 

2. 收费 模式 

网 络 游戏 的 收费 模式 主要 分 为 三 种 : 道具 收费 ,时间 收费 、 客 户 端 收费 。 

道具 收费 是 传统 意义 上 的 免费 模式 ,玩家 免费 注册 ,运营 商 通 过 出 售 游戏 中 的 道具 获取 
利润 ,如 征途 、 穿 越 火 线 等 ,其 中 的 道具 通常 用 于 强化 角色 、 着 装 及 交流 。 

时 间 收 费 需要 用 户 购买 点 卡 、 月 卡 为 游戏 角色 充值 才 可 以 进行 游戏 ,如 魔兽 .EVE、 梦 
幻 西游 等 。 

客户 端 收费 的 游戏 通常 通过 付费 客户 端 或 序列 号 绑 定 网 络 游戏 平台 进行 销售 ,常见 于 
个 人 电脑 普及 的 欧美 以 及 家 用 机 平台 网 络 , 代 表 游 戏 是 战地 叛逆 连队 2 反恐 精英 起 源 、 星 
际 争霸 2 等 。 

3. 移动 游戏 

除了 端 游 . 页 游 等 游戏 类 型 ,移动 游戏 成 为 新 的 增长 点 ,游戏 类 型 不 断 多 样 化 。 目 前 跑 
酷 、 棋 牌 等 休闲 游戏 仍然 是 移动 游戏 的 主流 ,但 移动 游戏 开始 重度 化 ,格斗 .角色 扮演 类 游戏 
开始 获得 用 户 的 欢迎 。 

移动 游戏 的 分 发 渠道 往往 拥有 大 量 的 用 户 规模 ,包括 应 用 商店 、 社 交 网 络 、 即 时 通讯 、 垂 
直 游 戏 中 心 等 人口 ,如 腾讯 .360、 百 度 、UC、 小 米 等 。 其 中 腾讯 以 微 信 、 手 机 QQ、QQ 空间 、 
应 用 宝 等 为 主要 分 发 渠道 ; 360 和 百度 则 分 别 以 360 手机 助手 .360 游戏 中 心 、 百 度 手 机 助 
手 等 作为 主要 的 分 发 渠道 。 


4.5.14 电子 邮箱 


目前 电子 邮件 仍 是 最 常用 的 办 公 工 具 。 电 子 邮 件 主 要 分 为 付费 和 免费 两 种 方式 ,许多 
网 站 既 提 供 免 费 信箱 ,也 提供 付费 邮箱 ,所 提供 的 信箱 容量 有 所 不 同 ,也 有 的 网 站 专门 提供 
付费 的 邮箱 。 

常见 的 电子 邮箱 有 谷歌 Gmail、 腾 讯 QQ 邮箱 、 网 易 163 邮箱 、 新 浪 邮箱 ,中 国电 信 189 
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邮箱 和 中 国 移动 的 139 信箱 ,另外 ,还 有 企 事业 单位 ,学校 等 建设 的 电子 邮箱 系统 等 。 
人 们 通常 从 两 个 渠道 登录 电子 邮件 : 通过 Web 界面 和 通过 客户 端 工具 。 常 见 的 客户 
端 工 具有 Outlook Foxmail 以 及 网 易 闪 电邮 等 。 


4.S.1S 网 络 电话 


网 络 电话 (Voice over Internet Protocol,VoIP) 又 称 为 IP 电话 ,是 将 模拟 的 声音 讯号 经 
过 压缩 与 封包 之 后 ,以 数据 封包 的 形式 在 IP 网 络 进行 语音 讯号 的 传输 ,VoIP 可 以 通过 互联 
网 免费 或 是 资费 很 低地 传送 语音 传真 ,视频 和 数据 等 业务 。VolP 的 通信 应 用 有 Skype、 
Viber。VolP 的 特点 是 主 叫 号 码 可 以 被 修改 ,又 称 为 * 改 号 ”, 被 网 络 犯罪 分 子 利用 于 网 络 诈 
骗 活 动 中 。 


4.6 常见 网 页 语言 


4.6.1 计算 机 语言 概述 


最 初 的 计算 机 语言 是 机 器 语言 .机 器 语言 是 用 二 进 制 代 码 表 示 的 计算 机 能 直接 识别 和 
执行 的 一 种 机 器 指令 的 集合 。 机 器 语言 具有 灵活 、 直 接 执行 和 速度 快 等 特点 。 但 是 机 器 语 
言 过 于 烦琐 ,编写 效率 很 低 。 现 在 进行 编程 都 是 用 高 级 语言 ,高 级 语言 分 为 两 种 : 一 种 称 为 
编译 型 语言 , 另 一 种 称 为 解释 型 语言 。 

编译 型 语言 指 在 应 用 源 程 序 执行 之 前 ,就 将 程序 源 代码 “翻译 ”成 目标 代码 (机 器 语言 )， 
因此 其 目标 程序 可 以 脱离 其 语言 环境 独立 执行 ,使 用 比较 方便 \ 效 率 较 高 。 但 应 用 程序 一 旦 
需要 修改 ,必须 先 修改 源 代码 ,再 重新 编译 生成 新 的 目标 文件 ( x . OBJ) 才 能 执行 ,只 有 目标 
文件 而 没有 源 代码 ,修改 很 不 方便 。 

解释 型 语言 并 不 产生 目标 机 器 代码 ,而 是 产生 易于 执行 的 中 间 代 码 ,效率 较 低 。 解 释 语 
言 的 优点 是 当 语 句 出 现 语法 错误 时 ,可 以 随时 修改 ,同时 兼容 性 好 ,可 以 跨 平台 使 用 。 网 页 
脚本 、 服 务 器 脚本 及 辅助 开发 接口 这 样 的 对 速度 要 求 不 高 .对 不 同系 统 平台 间 的 兼容 性 有 一 
定 要 求 的 程序 则 通常 使 用 解释 性 语言 ,如 HTML、ASP、PHP、JavaScript、VBScript、 Perl、 
Python 等 。 

网 页 可 以 被 分 成 静态 网 页 和 动态 网 页 两 类 .常见 的 静态 网 页 通常 以 . htm、. html、 
. shtml、xml 等 后 级 出 现 , 而 动态 网 页 常 以 . aspx、. asp、. jsp、. Php、. perl、. cgi 等 形式 为 后 
级 ,并 在 网 址 中 存在 符号 “?”。 后 级 通常 提示 了 页 面 是 由 哪 种 网 页 编程 语言 发 的 ,本 节 
将 介绍 具有 代表 性 的 四 种 网 页 编程 语言 : HTML、ASP、PHP 和 JSP。 


4.6.2 HIML 


超 文 本 标记 语言 (Hypertext Markup Language. HTML) 是 一 种 Web 网 页 元 素 的 标记 
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语言 规范 。“ 超 文本 ” 指 的 是 页 面 内 可 以 包含 图 像 .链接 .多 媒体 对 象 、 程 序 等 非 文本 元 素 ; 
“标记 ” 则 说 明 它 是 由 文字 和 标签 组 合 而 成 的 ,并 不 是 程序 语言 。HTML 文件 是 纯 文 本 文 
件 , 可 以 由 任意 文本 编辑 器 编写 ,文件 的 扩展 名 为 . html 或 . htm。 

1. HTML 标签 

HTML 标签 标记 ,通常 也 称 为 HTML 标签 ,是 HTML 中 最 基本 的 单位 ,是 由 尖 括 号 
包围 的 关键 词 并 且 通 常 成 对 出 现 ,. 如 二 html> 和 一 /html 之 ; 也 有 单独 呈现 的 标签 ,如 
< 一 img 之 。HTML 标签 可 按 类 型 分 为 框架 标签 ,文档 标签 ,布局 标签 .表格 标签 .表单 标签 、 
列表 标签 .链接 标签 .多 媒体 标签 ,文章 标签 .字体 样式 标签 以 及 特殊 标签 。 

2. HTML 网 页 创建 过 程 

图 4. 41 说 明了 HTML 网 页 创建 过 程 和 显示 结果 。 在 “记事 本 ”程序 中 编写 文档 
“HTML 网 页 . html” ,该 文档 具有 基本 的 HTML 文件 结构 ,在 IE 浏览 器 中 打开 * 网 页 制作 . 
html”, 并 显示 效果 。 


司 。 HTMLI 页 - iD 事 本 -5 El 
文人 (有益 吉 [E) 属 式 IO) 查看 (V)】 乔 助 HH) = x | 
3 页 + 
全 mm 网 页 cutley © fn- flee #4 -图 .ti Q 
[es [2 征 加 sm ” 因 玫 em 议 F ”四 Nr 5 国 几 ER - 
这 蜂王 个 gn 文件 
/body> 这 是 一 个 TRL 文件 
/html> 
图 4.41 HTML 文件 
4.6.3 ASP 


ASP(Active Server Pages) 是 一 套 微软 开发 的 服务 器 端 脚 本 环境 ,在 HTML 代码 中 榜 
人 VBScript 或 JavaScript 语言 ,形成 ASP 文件 (后 级 名 为 . asp)。 

1. JavaScript 脚本 和 VBScript 脚本 

JavaScript 是 由 一 种 基于 对 象 和 事件 驱动 的 并 具有 安全 性 能 的 脚本 语言 ,通过 绸 入 在 
标准 的 HTML 语言 中 实现 ,可 以 直接 在 Web 浏览 器 上 运行 。JavaScript 和 HTML 、Java 
脚本 语言 结合 可 开发 客户 端 程序 ,其 基本 语法 包括 变量 和 常量 、 表 达 式 和 运算 符 、 选 择 和 循 
环 语句 、 函 数 和 对 象 等 。 

VBScript 也 是 一 种 脚本 语言 ,同样 嵌入 在 标准 的 HTML 语言 中 实现 的 ,其 功能 与 
JavaScript 基本 相同 。 但 VBScript 脚本 语言 直接 来 源 于 VB(Visual Basic) 语 言 , 脚 本 程序 
既 可 以 放 在 客户 端 浏览 器 执行 ,也 可 以 在 服务 器 端 执行 ,其 基本 语法 包括 变量 和 数据 类 型 、 
选择 和 循环 语句 、 函 数 和 过 程 等 。 

2. ASP 的 工作 原理 

当 客户 端 浏览 器 上 某 用 户 申请 一 个 * . asp 的 文件 时 , Web 服务 器 就 会 响应 该 HTTP 
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请 求 , 并 调用 ASP 引擎 ,解释 被 申请 文件 ,最 后 输出 标准 的 HTML 格式 文件 传送 给 客户 端 
浏览 器 ,由 浏览 器 解释 运行 ,并 显示 出 结果 ,如 图 4. 42 所 示 。 当 遇 到 任何 与 ActiveX 
Scripting 兼容 的 脚本 (如 VBScript 和 JavaScript) 时 ,ASP 引擎 会 调用 相应 的 脚本 引擎 进行 
处 理 。 若 脚本 指令 中 含有 访问 数据 库 的 请 求 , 则 通过 ODBC 与 后 台数 据 库 相连 ,由 数据 库 


访问 组 件 执行 访问 操作 等 。 由 于 ASP 脚本 是 在 服务 器 端 解释 执行 的 ,所 以 其 所 有 相关 的 发 
布 工作 都 由 Web 服务 器 负责 


客户 端 浏览 器 Web 服 务 器 端 
| HTTP 请 求 | 求 Internet Information Server 
浏览 器 端 页 面 
| Active Server Pages 
HTTP 响 应 


ActiveX 
Scripting 


解释 asp page 
Default.asp 


图 4.42 ASP 工作 原理 


3. ASP 文件 
图 4.43 显示 了 一 个 ASP 文件 。ASP 网 页 文件 包括 三 个 部 分 : 
(1) 普通 的 HTML 文件 , 即 一 般 的 Web 页 面 内 容 ; 
(2) 放 在 一 Script 二 … 所 /Script 二 内 的 Script 脚本 语言 代码 ,由 客户 端 直接 运行 
(3) 放 在 二 % … % 之 内 的 Script 脚本 语言 代码 ,由 服务 器 端 运行 。 
[= 
head> 
[Ss Na 


2 
和 langusge="vbscript”> 


te 请 输入 您 的 大 名 :“，" 输 入 名 称 ”) 


seript> 
align="center"》 


“date 为 | 

y=year (date 0) el 
m=nonth (date O) a 
期 是 


dday (date0) 。“ 取 当 
“ 取 当 


tbr 和 str 
response write str 


E33 
/body> 
人 html> 


图 4.43 ASP 文件 


ASP 只 能 运行 于 Windows 操作 系统 下 ,在 Web 服务 器 端 需要 安装 IS 服务 器 应 用 软 
件 , 主 流 开发 环境 为 Microsoft Visual Studio .数据 库 为 Microsoft SQL Server。 
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4.6.4 PHP 


PHP 是 一 种 跨 平台 的 服务 器 端的 嵌入 式 脚本 语言 。 它 大 量 地 借用 C、Java 和 Perl 语言 
的 语法 ,并 融合 PHP 自己 的 特性 ,使 Web 开发 者 能 够 快速 地 写 出 动态 页 面 ,形成 PHP 文件 
(*.php)。 

1. PHP 语言 的 特点 

PHP 语言 混合 了 C 语言 Java 语言 .Perl 语言 和 了 PHP 自 创 的 语言 ; PHP 可 以 比 CGI 
或 者 Perl 更 快速 地 执行 动态 网 页 ; PHP 支持 几乎 所 有 流行 的 数据 库 以 及 操作 系统 ; PHP 
可 以 用 C 语 言 和 C++ 语言 进行 程序 扩展 ; PHP 是 开放 源 代码 的 、 专 业 服 务 器 端的 脚本 语 
言 , 支 持 大 部 分 的 服务 器 ,如 Apache、IIS。 

PHP 语言 主要 优势 体现 在 : PHP 本 身 免费 且 开 源 , 程 序 从 开发 到 运行 以 及 对 技术 本 身 
的 学 习 速 度 都 很 快 ,PHP 支持 几乎 所 有 的 数据 库 以 及 操作 系统 ,PHP 消耗 很 少 的 系统 资 
源 ,PHP 支持 其 他 脚本 语言 。 

2. PHP 的 工作 原理 

PHP 访问 Web 服务 器 的 原理 与 其 他 动态 脚本 语言 类 似 。 当 客户 端 向 服务 器 的 程序 提 
出 请 求 时 ,Web 服务 器 根据 请 求 响应 对 应 的 页 面 , 当 页 面 中 含有 PHP 脚本 时 ,服务 器 会 交 
给 PHP 解释 器 进行 解释 执行 ,将 生成 的 HTML 代码 再 回 传 给 客户 端 ,客户 端的 浏览 器 解 
释 HTML 代码 ,最 终 形成 网 页 格式 的 页 面 。 

3. PHP 文件 

PHP 网 页 文件 包括 两 个 部 分 : 

(1) PHP 代码 被 包含 在 特殊 的 起 始 符 和 结束 符 中 , 即 二 ? PHP echo “hello world!”;? 二 ， 
其 中 “echo” 是 关键 字 ,“; "是 结束 符 ; 

(2) 普通 的 HTML 代码 , 即 一 般 的 Web 页 面 内 容 。 

与 客户 端的 JavaScript 不 同 的 是 ,PHP 代码 是 运行 在 服务 端的 。 如 果 在 服务 器 上 建立 
了 与 图 4.44 类 似 的 代码 , 则 在 运行 该 脚本 后 ,客户 端 就 能 接收 到 其 结果 ,但 无 法 得 知 其 背后 
的 代码 是 如 何 运 作 的 。 


4.6.5 JSP 


JSP(Java Server Pages) 是 一 类 基于 对 象 和 事件 驱动 并 具有 安全 性 能 的 脚本 语言 ,通过 
在 HTML 代码 中 嵌入 Java 程序 段 (Scriptlet) 和 JSP 标记 (tag) ,形成 JSP 文件 。JSP 继承 
了 Java 语言 的 优势 ,具有 可 移植 性 分 布 性 、 稳 定性 、 安 全 性 高 性 能 等 特点 ,可 实现 一 次 编 
写 , 随 处 运行 ,同时 拥有 功能 强大 的 开发 工具 的 支持 。 

1. JSP 的 特点 

1) 将 内 容 生 成 和 显示 分 离 

Web 页 面 的 程序 员 可 以 使 用 JSP 或 者 脚本 来 生成 具有 动态 内 容 的 页 面 ,使 用 HTME 或 
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《<! 一 文件 4-1. php: 一 个 php 的 简单 程序 一 > 
<html> Est Wicrosoft Inter 
<head> 文件 人 多 业 0) 本 看 六 IAD WH 
《title>First program</title> Om-.© BO Pm ww @ 
</head> 
<body> 
<2php 
echo “hello, world!”; 
?> 
</body> 
</html> 


图 4.44 PHP 文 件 


XML 格式 标识 来 设计 静态 内 容 的 页 面 ,从 而 将 内 容 的 生成 与 展示 分 开 。 

2) 可 重用 组 件 的 生成 

JSP 组 件 (包括 企业 Javabeans™ ,Javabeans 或 定制 的 JSP 标签 ) 都 是 跨 平台 可 重用 的 ， 
基于 组 件 的 模式 能 够 有 效 地 提高 应 用 程序 的 开发 效率 。 

3) 使 用 标识 简化 页 面 进行 开发 

JSP 技术 能 够 使 开发 者 扩展 JSP 标签 并 应 用 ,从 而 减少 了 对 脚本 语言 的 依赖 ,降低 了 制 
作 网 页 和 向 多 个 网 页 扩充 关键 功能 的 复杂 程度 。 

2. JSP 的 工作 原理 

图 4.45 以 test. jsp 的 访问 过 程 为 例 , 说 明 JSP 的 工作 原理 : 

(1) 服务 器 接收 到 访问 页 面 的 请 求 时 ,检查 该 页 面 是 否 是 第 一 次 被 访问 ,JSP 引擎 JSP 
Parser 会 把 test. jsp 文件 编译 成 Servlet 程序 ,并 存放 在 特定 的 目录 下 ; 

(2) JSP 引擎 调用 服务 器 端的 Java 编译 器 JSDK ,把 Servlet 程序 进行 编译 成 Servlet 字 
节 码 ,也 放 在 特定 的 目录 下 ; 

(3) Java 虚拟 机 开始 执行 此 字 节 码 , 并 把 执行 的 结果 返回 给 客户 端 。 

当 test. jsp 再 次 被 访问 时 ,Java 虚拟 机 会 直接 执行 特定 目录 下 的 Servlet 字 节 码 , 然 后 
把 结果 传 给 客户 端 。 只 有 当 服 务 器 重启 ,或 对 JSP 文件 进行 过 修改 ,再 次 访问 该 页 面 时 才 
会 被 重新 转化 成 Servlet 程序 ,编译 成 Servlet 字 节 码 。 
3. JSP 文件 
如 图 4. 46 所 示 ,JSP 网 页 文件 包括 三 个 部 分 : 

(1) 编译 器 指令 ,例如 二 %@ page import 一 “java. util * ”% 二 ,说 明 需 要 导入 的 Java 
包 ; 

(2) Template data 指 的 是 JSP 引擎 不 处 理 的 部 分 , 即 标记 二 %…% 放 以 外 的 部 分 , 例 
如 代码 中 的 HTML 的 内 容 等 ,这 些 数据 会 直接 传送 到 客户 端的 浏览 器 ; 

(3) JSP 元 素 则 是 指 将 由 JSP 引擎 直接 处 理 的 部 分 。 
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查找 对 应 的 JSP 文 件 


是 否 是 修改 或 
扣 第 一 次 调 


和 
调用 JSP Parser 将 其 
编译 成 Servlet 程 序 


调用 JSDK 将 对 应 的 Servlet 程 序 
编译 成 Servlet 字 节 流 


a 


执行 ( 若 未 载 入 则 先 载 和 已 有 
对 应 的 Java 字 节 流 ) 


图 4.45 JSP 工作 原理 


图 4.46 JSP 文 件 
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4.7 网 络 威 胁 


互联 网 在 给 人 们 生活 带 来 便利 的 同时 ,自身 的 安全 问题 也 面临 重大 威胁 ,网 络 时 代 的 安 
全 问题 已 远 远 超 过 早期 的 单机 安全 问题 ,各 类 恶意 软件 严重 威胁 着 人 类 生活 的 各 个 领域 。 
信息 网 络 安全 威胁 是 指 以 计算 机 为 核心 的 网 络 系统 ,所 面临 的 或 者 来 自己 经 发 生 的 安全 事 
件 或 潜在 安全 事件 的 负面 影响 。 


4.7.1 Web 攻击 


Web 攻击 就 是 针对 Web 网 站 的 攻击 或 侵入 方式 。 由 于 Web 网 站 的 应 用 广泛 ,服务 多 
样 ,攻击 的 方式 也 多 种 多 样 ,整体 上 都 是 利用 协议 或 者 服务 的 漏洞 /缺陷 。 常 见 的 Web 攻击 
有 以 下 几 类 。 

1. SQL 注入 

SQL 注入 ,是 通过 把 SQL 命令 插入 到 Web 表单 递交 ,最 终 达 到 欺骗 服务 器 执行 恶意 
的 SQL 命令 的 目的 ,网 站 被 “ 拖 库 ”大 多 就 是 通过 Web 表单 递交 查询 字符 实现 的 ,未 经 过 
SQL 注入 检查 的 表单 特别 容易 受到 SQL 注入 攻击 。 

SQL 注入 攻击 指 的 是 通过 构建 特殊 的 输入 作为 参数 传人 Web 应 用 程序 ,而 这 些 输入 
大 都 是 SQL 语法 里 的 一 些 组 合 , 通 过 执行 SQL 语句 进而 执行 攻击 者 所 要 的 操作 ,例如 : 

SELECT FROM users WHERE 'username' = 'admin' and 'password' 一 'hi'OR1=1 


2. 跨 站 脚本 攻击 

跨 站 脚本 攻击 (Cross-Site Scripting,XSS) 是 攻击 者 在 网 页 上 发 布 包含 攻击 性 代码 的 数 
据 。 当 浏览 者 看 到 此 网 页 时 ,特定 的 脚本 就 会 以 浏览 者 用 户 的 身份 和 权限 来 执行 。 通 过 
XSS 可 以 比较 容易 地 修改 用 户 数 据 、 窃 取 用 户 信 息 , 甚 至 造成 其 他 类 型 的 攻击 ,例如 CSRF 
攻击 。 

3. Cookie 攻击 

通过 JavaScript 可 以 访问 到 当前 网 站 的 cookie。 在 浏览 器 地 址 栏 中 输入 : javascript: 
alert(document. cookie) ,立刻 就 可 以 看 到 当前 站 点 的 cookie( 如 果 有 的 话 ) 。 攻 击 者 可 以 利 
用 这 个 特性 来 获取 访问 者 的 关键 信息 。 例 如 ,和 XSS 攻击 相配 合 ,攻击 者 在 浏览 器 上 执行 
特定 的 Java Script 脚本 ,取得 访问 者 的 cookie. 假 设 这 个 网 站 仅 依 赖 cookie 来 验证 用 户 身 
份 ,那么 攻击 者 就 可 以 假冒 被 害 人 的 身份 来 做 一 些 事 情 。 
4. 重 定向 攻击 
重 定向 攻击 通常 会 发 送 给 受害 者 一 个 合法 链接 , 当 链 接 被 点 击 时 ,用 户 被 导向 一 个 似 是 
四 非法 网 站 ,从 而 达到 骗取 用 户 信 任 、 窃 取 用 户 资料 的 目的 。 


而 


™ 
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4.7.2 恶意 软件 


恶意 软件 是 指 故意 编制 或 设置 的 ,对 网 络 或 系统 会 产生 威胁 或 潜在 威胁 的 计算 机 程序 
或 代码 。 最 常见 的 恶意 软件 有 计算 机 病毒 (简称 病毒 ) .特洛伊 木马 (简称 森马、 计算 机 蠕虫 
(简称 蠕虫 后 门 、 逻 辑 炸弹 等 。 

按照 恶意 软件 是 否 依赖 于 宿主 程序 的 情况 进行 分 类 ,可 以 把 恶意 软件 分 为 两 大 类 。 一 
类 是 依赖 于 主机 程序 的 恶意 软件 ,不 能 独立 于 应 用 程序 或 系统 程序 ,寄存 于 宿主 程序 ,主要 
包括 病毒 .木马 后门 .逻辑 炸弹 等 。 另 一 类 恶意 软件 独立 于 主机 程序 ,是 能 在 操作 系统 上 运 
行 的 独立 程序 ,主要 包括 蠕虫 ,拒绝 服务 程序 等 。 

每 一 类 恶意 软件 都 有 其 各 自 独特 的 特点 ,但 不 论 如 何 分 类 ,综合 来 看 ,各 类 恶意 软件 都 
有 具有 程序 性 、 隐 蔽 性 、 非 授权 性 、 破 坏 性 、 传 染 性 、 变 异性 持久 性 、 不 可 预见 性 、 抗 分 析 性 、 诱 
惑 欺 骗 性 、 远 程 启动 性 、 攻 击 方式 和 传播 方式 的 多 样 性 等 特征 。 


4.7.3 病毒 


病毒 (Virus) 分 为 狭义 和 广义 两 种 。 狭 义 的 计算 机 病毒 可 以 使 用 下 面 颇具 权威 的 定义 ， 
“计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 数据 ,影响 计算 机 使 
用 并 且 能 够 自我 复制 的 一 组 计算 机 指令 或 程序 代码 .”D 计 算 机 病毒 具有 一 定 的 潜伏 期 ,一 
且 条 件 成 熟 ,就 会 进行 各 种 破坏 活动 ,影响 计算 机 的 正常 使 用 。 广 义 上 的 计算 机 病毒 是 指 不 
有 具有 狭义 计算 机 病毒 的 特征 ,但 也 破坏 计算 机 系统 的 一 些 有 争议 的 代码 或 程序 ,比如 “蠕虫 ” 
或 “木马 ”等 “后 计算 机 病毒 ”。 

计算 机 病毒 具有 传播 性 ,隐蔽 性 、 感 染 性 、 潜 伏 性 、 可 触发 性 、 破 坏 性 等 特征 。 它 的 产生 
过 程 包括 : 程序 设计 一 传播 一 潜伏 一 触发 一 运行 一 攻击 。 

(1) 程序 设计 期 。 计 算 机 病毒 是 程序 代码 ,这 些 代码 中 通常 都 加 入 一 些 具 有 破坏 性 的 
内 容 来 达到 设计 者 的 目的 。 

(2) 孕育 传播 期 。 在 一 个 病毒 制造 出 来 后 ,病毒 的 编写 者 将 其 复制 并 传播 出 去 。 通 常 
的 办 法 是 感染 一 个 流行 的 程序 ,再 将 其 放 人 BBS 站 点 上 、 校 园 网 或 其 他 大 型 网 络 中 。 

(3) 潜伏 期 。 病 毒 是 自动 复制 的 。 一 个 设计 良好 的 病毒 可 以 在 它 发 作 前 的 长 时 期 里 被 
复制 ,使 得 它 有 充裕 的 传播 时 间 , 此 时 病毒 的 危害 在 于 暗中 占据 存储 空间 。 潜 伏 期 的 病毒 会 
不 断 复 制 和 继续 传染 ,一 个 比较 完美 的 病毒 通常 都 会 有 很 长 的 潜伏 期 。 

(4) 病毒 发 作 期 。 带 有 破坏 机 制 的 病毒 会 在 遇 到 某 一 特定 条 件 时 发 作 , 一 旦 遇 上 某 种 
条 件 , 比 如 某 个 日 期 或 出 现 了 用 户 采取 的 某 种 特定 行为 ,病毒 即 可 被 激活 。 


中 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》 


第 4 章 网 络 犯罪 侦查 基础 知识 137 


4.7.4 木马 


木马 (Trojan) 全 称 特洛伊 木马 ,是 一 类 特殊 的 后 门 程序 ,是 一 种 秘密 潜伏 的 能 通过 远程 
网 络 进行 控制 的 恶意 程序 ,具有 隐藏 性 和 非 授权 性 的 特点 。 攻 击 者 可 以 控制 被 秘密 植 人 木 
马 的 计算 机 。 与 一 般 的 病毒 不 同 ,木马 程序 不 会 自我 繁殖 ,也 并 不 "刻意 ”地 去 感染 其 他 文 
件 , 它 通过 伪装 自身 吸引 用 户 下 载 执行 ,向 施 种 木马 者 提供 打开 被 种 主机 的 门户 ,使 施 种 者 
[以 任意 毁坏 、 窃 取 被 种 者 的 文件 ,甚至 远程 操控 被 种 主机 。 木 马 的 产生 严重 危害 着 现代 网 
络 的 安全 运行 。 

完整 的 木马 程序 一 般 由 两 部 分 组 成 : 一 个 是 服务 器 程序 ,一 个 是 控制 器 程序 .“ 中 了 木 
马 ” 就 是 指 安装 了 木马 的 服务 器 程序 。 若 某 台 计算 机 被 安装 了 服务 器 程序 ， 拥有 控制 器 程序 
的 人 ( 施 种 者 ?就 可 以 通过 网 络 控制 该 计算 机 ,以 致 计算 机 中 存储 的 各 种 文件 .程序 ,以 及 使 
用 的 账号 、 密 码 毫 无 安全 性 可 言 。 相 对 来 说 ,病毒 程序 主要 是 破坏 信息 ,而 木马 程序 则 旨 在 
窃取 信息 。 

木马 根据 其 功能 进行 分 类 ,有 密码 窃取 ,文件 破坏 .自动 拨号 .寄生 Telnet/FTP/HTTP 
服务 .蠕虫 型 .邮件 炸弹 ICQ 黑客 .IRC 后 门 .C/S 等 类 型 。 典 型 的 特洛伊 木马 有 ”* 灰 合子” 
“冰河 “网 银 大 盗 “ 网 络 神偷 “网 络 公 牛 “ 广 外 女生 “代理 木马 “AV 终结 者 “QQ 木马 ” 
等 。 这 些 木马 功能 强大 ,包括 远程 文件 管理 .远程 进程 控制 .远程 键盘 鼠标 控制 .密码 窃取 等 
功能 ,并 且 变 得 越 来 越 隐蔽 ,技术 日 渐 完善 ,给 网 络 安全 带 来 了 巨大 的 隐患 。 木 马 程序 与 其 
他 恶意 程序 相 比 有 其 特殊 性 。 

(1) 具有 隐蔽 性 。 木 马 程序 会 通过 某 种 技术 来 清除 或 伪装 自身 的 各 种 存在 痕迹 以 隐藏 
自身 。 如 隐藏 在 文件 系统 中 的 文件 .隐藏 在 内 存 中 的 进程 、 隐 藏 在 对 外 进行 网 络 通信 的 网 络 
连接 和 网 络 端口 ,从 而 实现 看 不 见 的 功能 。 

(2) 具有 自 启动 特性 。 木 马 程序 为 了 长 久 控制 目标 主机 ,希望 随 系统 的 启动 而 启动 。 
因此 ,木马 必须 把 自己 添加 在 相关 自 启动 项 中 。 

(3) 具有 自我 保护 特性 。 木 马 为 了 防 删 除 , 采 用 多 线程 保护 技术 、 多 启动 机 制 、 多 文件 
备份 技术 ,从 而 实现 删 不 掉 、 删 不 尽 的 功能 。 

(4) 具有 非法 的 功能 ,如 键盘 记录 ,口令 获取 等 。 

值得 注意 的 是 ,如今 的 木马 程序 和 其 他 种 类 的 恶意 软件 往往 呈 交 叉 性 ,如 著名 的 “熊猫 
烧香 ”, 它 会 破坏 数据 ,也 可 以 传播 自己 ,更 重要 的 是 盗 取 账号 等 信息 。 


4.7.5 蠕虫 


蠕虫 病毒 是 一 种 通过 网 络 进行 复制 和 传播 的 恶意 病毒 。 计 算 机 蠕虫 的 本 质 是 一 种 独立 
的 可 执行 程序 ,主要 由 主 程序 和 引导 程序 构成 。 主 程序 一 旦 在 计算 机 中 建立 ,就 可 以 收集 与 
当前 计算 机 联网 的 其 他 计算 机 信息 ,通过 读 取 当 前 计算 机 的 公共 配置 信息 来 检测 其 联网 状 
态 , 尝 试 利 用 系统 缺陷 在 远程 计算 机 上 建立 引导 程序 ,引导 程序 进而 把 蠕虫 带 入 它 所 感染 的 


| 
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每 一 台 计 算 机 中 。 

蠕虫 病毒 不 同 于 普通 计算 机 病毒 , 它 不 需要 将 自身 嵌入 到 宿主 程序 ,达到 复制 目的 ,而 
是 靠 自身 通过 网 络 分 发 它 的 副本 或 变种 。 在 网 络 环境 下 ,蠕虫 病毒 可 以 按 几何 增长 模式 进 
行 传染 。 当 蠕虫 病毒 侵入 计算 机 网 络 后 ,可 导致 计算 机 网 络 的 效率 急剧 下 降 , 系 统 资 源 遭 到 
严重 破坏 , 短 时间 内 就 可 造成 网 络 系统 的 大 面积 瘫痪 。 与 普通 计算 机 病毒 比较 ,蠕虫 病毒 具 
有 如 下 特点 : 

(1) 利用 操作 系统 和 应 用 程序 的 漏洞 主动 进行 攻击 ,如 常见 的 “ 尼 姆 达 ”“ 红 色 代 码 ” 
“SQL 蠕虫 王 ” 等 。 感 染 了 “ 尼 姆 达 ” 病 毒 的 邮件 利用 下 浏览 器 的 漏洞 ,在 不 通过 手工 打开 
附件 的 情况 下 就 能 激活 病毒 ;“ 红 色 代 码 ” 是 利用 了 微软 IIS 服务 器 软件 的 漏洞 (idq. dll 远 
程 缓存 区 溢出 ) 来 传播 的 ;“SQL 蠕虫 王 ” 则 是 利用 微软 数据 库 系 统 的 一 个 漏洞 进行 攻击 。 

(2) 传播 方式 多 样 。 例 如 “ 尼 姆 达 ” 和 “求职 信 ” 可 利用 的 传播 途径 包括 文件 .电子 邮件 、 
Web 服务 器 及 网 络 共享 等 。 

(3) 病毒 制作 技术 有 别 于 传统 病毒 。 许 多 新 的 蠕虫 病毒 是 利用 当前 最 新 的 编程 语言 和 
技术 实现 的 ,易于 修改 ,从 而 可 以 产生 新 的 变种 ,因此 可 以 逃避 反 病 毒 软件 的 搜索 。 还 有 些 
新 的 蠕虫 病毒 可 以 潜伏 在 HTML 页 面 里 ,在 用 户 上 网 浏览 时 被 触发 。 

(4) 与 黑客 技术 相 结合 。 以 "红色 代码 ?为 例 , 感 染 后 的 计算 机 在 Web 目录 的 \\scripts 
下 将 生成 一 个 root. exe, 可 以 远程 执行 任何 命令 ,从 而 使 黑客 能 够 再 次 进入 ,潜在 的 威胁 和 
损失 将 更 大 。 


4.7.6 远程 控制 


远程 控制 是 指 远程 控制 其 他 计算 机 ,将 被 控制 的 计算 机 桌面 显示 在 主 控 方 的 计算 机 上 ， 
可 以 实现 对 被 控制 计算 机 进行 配置 .软件 安装 和 其 他 操作 。 操 作 指 令 发 出 端的 计算 机 称 为 
主 控 端 或 客户 端 ,操作 指令 接收 端的 远程 计算 机 称 为 被 控 端 。 远程 控制 主要 应 用 领域 有 远 
程 办 公 、 远 程 技 术 支 持 、 远 程 教育 和 医疗 等 。 目 前 较为 常见 的 远程 控制 软件 有 Windows 远 
程 桌 面 连接 .pcAnywhere、 灰 鸽子 .SecureCRT 和 TeamViewer 等 。 

1，Telnet 

Telnet 协议 是 TCP/IP 协议 族 中 的 一 员 , 是 Internet 远程 登录 服务 的 标准 协议 和 主要 
方式 。 它 为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 电脑 上 
使 用 telnet 程序 ,用 它 连 接 到 服务 器 。 终 端 使 用 者 可 以 在 telnet 程序 中 输入 命令 ,这 些 命令 
会 在 服务 器 上 运行 ,就 像 直接 在 服务 器 的 控制 台 上 输入 一 样 。 可 以 在 本 地 就 能 控制 服务 器 。 
要 开始 一 个 telnet 会 话 ,必须 输入 用 户 名 和 密码 来 登录 服务 器 。Telnet 是 常用 的 远程 控制 
Web 服务 器 的 方法 。 

2. Windows 远程 桌面 连接 

3389 端口 是 Windows Server 远程 桌面 的 服务 端口 。 通 过 该 端口 ,可 用 “远程 桌面 "等 
连接 工具 来 连接 到 远程 的 服务 器 。 连 接 成 功 并 输入 系统 管理 员 的 用 户 名 和 密码 后 ,将 可 以 
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像 操 作 本 机 一 样 操作 远程 的 电脑 。 以 Windows 7 为 例 ,远程 服务 器 需要 在 “计算 机 ”一 “ 系 
统 属 性 ”一 “远程 ”中 设置 “允许 远程 协助 连接 这 人 台 计 算 机 ,客户 端 可 以 单 击 “ 所 有 程序 ”一 
“附件 ”一 “远程 桌面 连接 ”, 或 直接 在 “运行 ”对话 框 中 输入 mstsc. exe 命令 来 运行 远程 桌面 。 
出 于 安全 性 考虑 ,远程 服务 器 一 般 都 将 这 一 端口 关闭 ,或 修改 端口 数值 。 


4.7.7 工业 控制 系统 入 侵 


工业 控制 系统 入 侵 是 新 型 的 网 络 犯罪 ,其 目标 主要 是 工业 控制 系统 的 核心 一 一 SCADA 
(Supervisory Control And Data Acquisition) 系统 , 即 数据 采集 与 监视 控制 系统 。SCADA 
系统 是 以 计算 机 为 基础 的 DCS 与 电力 自动 化 监控 系统 。 它 广泛 应 用 于 电力 ,冶金 .石油 ,化 
工 \ 燃 气 、 铁 路 等 领域 的 数据 采集 与 监视 控制 以 及 过 程控 制 等 领域 。 

随 着 自动 化 水 平 的 提高 , 越 来 越 多 的 重要 基础 设施 暴露 于 网 络 之 下 ,网 络 攻击 变 得 越 来 
越 普遍 DD。 由 于 工控 系统 广泛 利用 了 通用 操作 系统 和 网 络 ,因此 其 安全 性 与 普通 服务 器 并 
无 区 别 。2010 年 ,“ 震 网 ”病毒 就 是 通过 攻击 伊朗 纳 坦 兹 核 工 厂 的 SCADA 系统 导致 伊朗 的 
铀 浓缩 工厂 瘫痪 的 。 

针对 民用 /商用 计算 机 和 网 络 的 攻击 ,目前 多 以 获取 经 济 利益 为 主要 目标 ,但 针对 工业 
控制 网 络 和 现场 总 线 的 攻击 ,可 能 破坏 企业 重要 装置 和 设备 的 正常 测控 ,由 此 引起 的 后 果 可 
能 是 灾难 性 的 。 以 化 工行 业 为 例 , 针 对 工业 控制 网 络 的 攻击 可 能 破坏 反应 器 的 正常 温度 / 压 
力 测控 ,导致 反应 器 超 温 、. 超 压 , 最 终 就 会 导致 起 火 甚至 爆炸 等 灾难 性 事故 ,还 可 能 造成 次 生 
灾害 和 人 道 主义 灾难 。 侦 查 机 关 目 前 对 于 工业 控制 系统 入 侵 还 很 陌生 ,侦查 机 关 要 迅速 跟 
上 形势 ,研究 相应 对 策 和 技术 ,确保 国民 经 济 重点 领域 的 网 络 安全 。 


4.8 加 密 与 解密 


4.8.1 密码 学 基础 


1， 密 码 学 分 类 

密码 学 根据 其 研究 的 范畴 可 分 为 密码 编码 学 和 密码 分 析 ( 破 解 ) 学 。 密 码 编码 学 和 密码 
分 析 学 是 相互 对 立 、 相 互 促进 而 发 展 的 。 密 码 编码 学 是 研究 密码 体制 的 设计 、 对 信息 进行 纺 
码 表 示 、 实 现 信息 隐藏 的 一 门 科学 。 密 码 分 析 学 是 研究 如 何 破解 被 加 密 信 息 的 一 门 科学 , 具 
体 来 说 就 是 密码 破解 ,广泛 应 用 于 网 络 犯罪 侦查 中 。 

2. 术语 

在 密码 学 中 ,要 传送 的 以 通用 语言 表达 的 文字 内 容 称 为 明文 ,由 明文 经 过 一 些 规 则 变换 
而 来 的 一 串 符号 称 为 密 文 ,把 明文 经 过 变换 规则 而 变 为 密 文 的 过 程 称 为 加 密 ; 反之 ,由 密 文 


中 ”可 以 通过 https://www. shodan. io/ 搜 索 SCADA 系统 。 
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经 过 约定 的 变换 规则 变 为 明文 的 过 程 称 为 解密 。 
例如 ,要 传送 一 段 明文 “COMPUTER”, 经 过 变换 规则 变换 后 成 为 “FRPSXWHR”, 变 
换 规则 如 表 4. 8 所 示 。 


表 4.8 凯撒 密 表 


明文 字母 ABCDEFGHIJKLMNOPPRSTUVWXYZ 
密 文字 母 DEFGHIJKLMNOPQRSTUVWXYZABC 


这 张 表 就 是 密码 学 史上 著名 的 “凯撒 密 表 ”, 密 表 中 的 规则 可 简单 概括 为 “后 移 3 位 ”。 
那么 ,相信 任何 人 员 拿 到 密 文 后 ,都 能 很 快 通过 密 表 推 出 明文 。 在 这 里 ,通常 把 规则 中 的 “3” 
称 为 密 钥 , 所 用 到 的 变换 规则 一 一 密 表 , 看 作 “ 加 密 算法 ”。 

3. 密码 破解 的 基础 理论 

计算 机 中 使 用 的 加 密 技术 通常 分 为 两 大 类 :“ 对 称 式 ” 和 "* 非 对 称 式 ”。 对 称 式 加 密 就 是 
加 密 和 解密 使 用 同一 个 密 钥 ,这 种 加 密 技术 现在 被 广泛 采用 ,如 美国 政府 所 采用 的 DES 加 
密 标 准 就 是 一 种 典型 的 “对 称 式 ?加 密 算 法 , 它 的 Session Key 长 度 为 56b。 非 对 称 式 加 密 就 
是 加 密 和 解密 所 使 用 的 不 是 同一 个 密 钥 ,通常 有 两 个 密 钥 , 称 为 “ 公 钥 ”和 ”“ 私 钥 ”, 它 们 两 个 
必须 配对 使 用 ,否则 不 能 打开 加 密 文件 。 

目前 计算 机 中 通用 的 加 密 算法 有 DES.RSA、MD5 .SHA1、AES 等 ,这 些 加 密 算法 都 是 
公开 的 标准 ,甚至 连 密 钥 也 公开 。 一 方面 ,互联 网 的 本 质 是 为 了 资源 共享 ,因此 标准 要 统一 ， 
方便 数据 交换 。 另 一 方面 ,由 于 这 些 加 密 算法 很 强壮 , 按 当 时 的 技术 环境 ,即使 公开 发 布 也 
不 会 对 数据 的 安全 性 产生 太 大 影响 。 但 是 , 随 着 计算 机 运算 速度 的 提高 ,密码 破解 技术 也 力 
速 发 展 , 它 强大 的 穷 举 能 力 抵消 了 某 些 加 密 算法 的 优势 ,使 得 在 有 限 的 时 间 内 破解 复杂 的 加 
密 算法 变 为 可 能 。 事 实 上 ,工作 中 所 使 用 的 密码 破解 工具 ,多 数 还 是 基于 机 器 的 超 强 计算 能 
力 并 配合 穷 举 方法 而 设计 的 。 也 正 是 因为 计算 机 中 这 种 通用 的 密码 设计 体制 ,密码 破解 工 
作 才 没 有 那么 遥远 。 

上 述 理论 表明 ,无论 面临 何 种 密码 破解 问题 ,首先 要 了 解 对 象 的 加 密 体 制 。 不 同 的 系 
统 , 因 加 密 体制 不 一 样 ,对 应 的 破解 方法 也 不 同 , 破 解 工 具 都 是 有 局 限 性 的 ,不 可 能 穷尽 所 有 
问题 。 


4.8.2 常见 加 密 类 型 


在 计算 机 领域 中 ,密码 加 密 主要 用 于 两 方面 : 一 是 登录 口令 ; 二 是 文件 加 密 。 密 码 破 
解 要 认真 分 析 对 象 的 加 密 类 型 和 算法 ,这 样 才能 有 的 放 矢 进行 解密 工作 。 

1. BIOS 加 密 

BIOS 密码 也 称 "CMOS 密码 ”, 密码 设置 的 主要 目的 是 防止 他 人 随意 启动 计算 机 及 修 
改 BIOS 设置 ,保证 计算 机 的 正常 运行 以 及 限制 他 人 使 用 计算 机 ,以 保护 计算 机 中 的 资源 。 
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BIOS 设置 中 可 同时 设置 SYSTEM 及 SETUP 密码 。SYSTEM 密码 是 开机 密码 ,用 于 
自 检 后 进入 系统 的 ,如 果 在 BIOS 中 设置 的 登录 方式 为 SYSTEM, 则 开机 时 必须 输入 该 密 


码 , 否 则 无 法 进入 系统 ; SETUP 密码 是 BIOS 设置 密码 ,进入 BIOS 时 需要 输入 密码 ,BIOS 
登录 密码 设置 如 图 4. 47 所 示 。 


Set Supervisor Passuord 


图 4.47 BIOS 密码 设置 界面 
2. 登录 口令 


无 论 是 Windows 系统 ,还 是 其 他 操作 系统 。 都 使 用 登录 口令 来 保证 授权 访问 。 同 时 应 
用 程序 的 登录 口令 ,例如 聊天 工具 QQ 有 登录 密码 . 微 博 博客 有 密码 等 。 这 些 登 录 口 令 使 用 
一 定 的 算法 进行 加 密 。 对 于 登录 口令 的 解密 是 密码 破解 的 重点 。 登 录 口 令 如 图 4. 48 所 示 。 


图 4.48 Windows 7 系统 用 户 账号 密码 设置 界面 
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3. 文件 加 密 

用 户 通常 使 用 以 下 两 种 方法 给 文件 加 密 : 

(1) 很 多 应 用 程序 ,程序 本 身 包含 文档 加 密 功能 ,如 Office 组 件 。 

(2) 多 数 情况 下 ,用 户 喜 欢 使 用 第 三 方 工具 对 文件 进行 加 密 , 最 常见 的 要 数 WinRAR 
以 及 文件 夹 加 密 大 师 等 。 图 4. 49 为 WinRAR 设置 文档 解压 密码 操作 界面 。 


| 这 页 | 文件 [备份 [时间 | 注释 | 


IPs 选项 饶 复 记录 ) 

口 保存 文件 安全 数据 @) 0 

口 保 友 文件 流 数 据 

分 关 

口 竺 人 分 关 如 人 元 之 后 冰 信 四 
旧 风 和 名册 自 解压 选项 DJ) 

[TS EE 

系统 

口 后 台 压 纺 @) 


器] 完成 拘 作 后 关闭 计算 机 电源 下) 
口 如 果 其 它 WinRAR 副本 祛 激活 则 | 等待 也) 


图 4.49 WinRAR 设置 解压 密码 操作 界面 


4. 其 他 类 型 加 密 
加 密 还 广泛 应 用 于 其 他 方面 。 例 如 硬盘 加 密 、 源 代码 加 密 等 。 这 些 加 密 方式 增加 了 密 
码 破解 的 复杂 性 。 


4.8.3 解密 原理 与 方法 


通常 情况 下 ,一 个 密码 可 能 包含 如 下 符号 : 26 个 小 写字 母 (a 到 z) 26 个 大 写字 母 (A 
到 Z) .10 个 数字 (0 到 9) 和 33 个 其 他 字符 (! @#$%^, 等 )。 用 户 可 以 使 用 这 95 个 字符 
的 任意 组 合作 为 密码 。 

目前 ,密码 破解 的 常用 方法 有 暴力 破解 .字典 漏洞 .社会 工程 学 攻击 等 ,其 中 ,暴力 破解 
是 最 常用 的 破解 方法 。 通 常 来 看 ,计算 机 的 运算 能 力 是 以 CPU 运算 能 力 来 衡量 的 ,从 早期 
的 8086 到 奔腾 4 处 理 器 ,基于 单 核 的 处 理 器 计算 能 力 已 经 有 了 很 大 提高 。 但 是 单纯 地 靠 提 
高 单 核 处 理 器 速度 来 提升 整个 系统 性 能 已 非常 困难 。 串 行 处 理 器 的 主要 厂商 Intel 和 
AMD 纷纷 推出 多 核 产品 (双核 ,三 核 、 四 核 其 至 六 核 ), 同 时 向 着 更 高 目标 前 进 。CPU 的 运 
算 速度 日 新 月 异 , 但 是 对 于 密码 破解 来 说 ,仅仅 提高 CPU 的 运算 速度 是 杯水车薪 , 远 远 不 
能 达到 实用 化 的 目的 ,因此 ,一 些 新 的 技术 开始 应 用 于 密码 破解 领域 ,借助 这 些 新 的 技术 ,一 
些 密码 破解 方法 逐渐 实用 化 ; 同时 ,由 于 操作 系统 和 软件 开发 的 成 本 和 难度 加 大 ,密码 的 发 
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展 处 于 一 个 相对 平缓 的 时 期 ,新 的 密码 破解 方案 就 可 以 在 计算 机 硬件 发 展 的 基础 上 对 密码 
保护 形成 一 个 暂时 的 、 可 行 的 解决 。 


4.8.4 密码 破解 技术 概述 


1. 暴力 破解 密码 技术 

一 般 说 来 ,提高 暴力 破解 速度 有 三 种 切实 可 行 的 方法 。 一 是 提高 单个 处 理 器 的 运算 能 
力 ,或 者 说 提高 单个 处 理 器 的 密码 破解 能 力 。 可 以 通过 增加 核心 和 处 理 器 数量 来 达到 。 例 
如 多 核 和 众 核 技术 。 二 是 将 具有 运算 能 力 的 设备 通过 通信 线路 联合 起 来 ,通过 将 任务 分 解 ， 
同时 完成 , 称 为 分 布 式 计 算 或 者 并 行 计 算 , 当 然 也 包括 目前 的 云 计 算 。 三 是 FPGA 技术 , 通 
过 将 特定 算法 烧 录 到 芯片 中 ,使 芯片 只 担负 一 种 解密 任务 ,可 以 极 大 地 提高 破解 效率 ,同时 
也 利于 成 本 控制 ,应 用 于 密码 破解 领域 的 FPGA 目前 主要 分 为 运算 加 速 FPGA 和 总 线 加 速 
FPGA。 

1) 多 核 与 众 核 

随 着 Intel 展示 了 其 面向 未 来 的 80 核 芯片 ,业界 将 开始 从 多 核 (multircore, 十 几 个 ) 向 
众 核 (many-core, 几 百 上 千 ) 方 向 发 展 。 假 设 沿 着 这 一 道路 前 进 , 它 将 可 以 引导 未 来 开发 出 
大 规模 核 , 即 一 块 芯片 就 可 以 容纳 数 千 个 处 理 核 。 众 核 技术 的 出 现 ,使 得 一 个 CPU 的 处 理 
能 力 等 同 于 数 千 个 CPU 的 处 理 能 力 ,这 无 疑 可 以 极 大 地 提高 密码 破解 的 速度 。 从 实质 上 
讲 , 处 理 器 核 的 增加 仍然 是 提高 暴力 破解 速度 的 方法 之 一 。 这 种 技术 永远 是 随 着 运算 性 能 
提高 而 提高 的 。 

2) 分 布 式 计算 /并 行 计算 

分 布 式 计算 (Distributed Computing) 是 一 种 把 需要 进行 大 量 计算 的 工程 数据 分 割 成 小 块 ， 
由 多 台 计 算 机 分 别 计算 ,在 上 传 运算 结果 后 再 统一 合并 得 出 数据 结论 的 科学 ,如 图 4.50 所 示 。 


3 Ny 
步 数据 库 
步骤 1 服务 器 


ServerMaster ServerSlave 


主 服务 端 ”备份 服务 端 


4 23 
UserClient ”SuperUserClient CompClient CompClient CompClient 
控制 节点 ”超级 控制 节点 计算 节点 ”计算 节点 。 计算 节点 


图 4.50 分 布 式 计算 示意 图 
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分 布 式 破解 已 经 不 是 一 项 新 鲜 的 技术 。 随 着 科技 的 发 展 ,分 布 式 破解 已 经 不 限于 局 域 
网 内 ,而 是 扩大 到 广域网 甚至 互联 网 上 。 这 类 的 成 熟 产品 有 AccessData 公司 出 品 的 
Distributed Network Attack(DNA) 和 Elcomsoft 公司 的 Distributed Password Recovery。 

从 传统 上 说 , 串 行 计算 (Sequential Computing) 是 指 在 单个 计算 机 (具有 单个 中 央 处 理 
单元 ) 上 执行 软件 写 操作 。CPU 逐个 使 用 一 系列 指令 解决 问题 ,但 其 中 只 有 一 种 指令 可 提 
供 随时 和 及 时 的 使 用 。 并 行 计算 (Parallel Computing) 是 相对 于 串 行 计算 来 说 的 , 指 的 是 同 
时 使 用 多 种 计算 资源 解决 计算 问题 的 过 程 。 并 行 计算 可 分 为 时 间 上 的 并 行 和 空间 上 的 并 
行 。 时 间 上 的 并 行 就 是 指 流水 线 技术 ,而 空间 上 的 并 行 则 是 指 用 多 个 处 理 器 并 发 的 执行 计 
算 。 并 行 计算 科 学 中 主要 研究 的 是 空间 上 的 并 行 问题 。 

并 行 计算 的 主要 目的 是 快速 解决 大 型 且 复 杂 的 计算 问题 ,同时 并 行 运算 能 够 利用 非 本 
地 资源 ,节约 成 本 一 一 使 用 多 个 “廉价 ”计算 资源 取代 大 型 计算 机 ,同时 克服 单个 计算 机 上 存 
在 的 存储 器 限制 。 

并 行 计算 和 分 布 式 计算 具有 以 下 相同 的 特征 : 

(1) 将 工作 分 离 成 离散 部 分 ,有 助 于 同时 解决 ; 

(2) 随时 和 及 时 地 执行 多 个 程序 指令 ; 

(3) 多 计算 资源 下 解决 问题 的 耗 时 要 少 于 单个 计算 资源 下 的 耗 时 。 

有 理论 认为 分 布 式 计算 是 进程 级 别 上 的 协作 ,而 并 行 计算 是 线程 级 别 上 的 协作 ,也 有 一 
定 道理 。 但 是 随 着 运算 要 求 的 提高 .并 行 计算 和 分 布 式 运算 的 界限 越 来 越 小 ,二 者 都 在 弥补 
着 自己 的 缺陷 ,从 而 逐渐 靠拢 ,从 某 种 意义 上 来 说 ,可 以 认为 并 行 运算 与 分 布 式 运 算是 一 个 
类 型 。 而 从 发 展 方向 上 ,并行 计算 从 硬件 上 寻求 突破 ,而 分 布 式 破解 则 在 算法 和 应 用 上 具有 
特色 。 

3) FPGA 

FPGA(Field Programmable Gate Array) 即 现场 可 编程 门 阵列 , 它 是 在 PAL、GAL、 
EPLD 等 可 编程 器 件 的 基础 上 进一步 发 展 的 产物 。 它 是 作为 专用 集成 电路 (ASIC ) 领域 中 
的 一 种 半 定 制 电路 而 出 现 的 , 既 解 决 了 定制 电路 的 不 足 , 又 克服 了 原 有 可 编程 器 件 门 电路 数 
有 限 的 缺点 。FPGA 的 使 用 非常 灵活 ,同一 片 FPGA 通过 不 同 的 编程 数据 可 以 产生 不 同 的 
电路 功能 。FPGA 在 通信 ,数据 处 理 .网络 .仪器 .工业 控制 .军事 和 航空 航天 等 众多 领域 得 
到 了 广泛 应 用 。FPGA 由 于 可 以 高 效率 、 低 功 耗 运行 重复 性 的 工作 ,对 于 密码 破解 是 非常 合 
适 的 工具 。 从 实战 来 看 ,FPGA 技术 已 经 应 用 于 密码 破解 领域 中 。 

FPGA 与 通用 CPU 相 比 又 具有 如 下 显著 优点 : 

(1) FPGA 一 般 均 带 有 多 个 加 法 器 和 移 位 器 :特别 适合 多 步骤 算法 中 相同 运算 的 并 行 
处 理 。 通 用 CPU 只 能 提供 有 限 的 多 级 流水 线 作 业 。 

(2) 一 块 FPGA 中 可 以 集成 数 个 算法 并 行 运算 。 通 用 CPU 一 般 只 能 对 一 个 算法 串 行 
处 理 。 
(3) 基于 FPGA 设计 的 板 卡 功 耗 小 体积 小 、 成 本 低 , 特 别 适 合板 卡 间 的 并 联 。 
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2. 空间 换 时 间 技 术 (Time-Memory Trade-Off) 

1980 年 ,Martin Hallman 博士 提出 使 用 空间 换 时 间 的 方式 来 解决 密码 破解 的 难题 。 实 
际 上 他 的 方案 很 容易 理解 ,就 是 运算 出 所 有 密码 哈 希 的 可 能 项 ,通过 高 速 遍历 来 得 到 相同 
项 ,获得 对 应 的 密码 。 唯 一 的 问题 是 需要 提前 进行 预 运算 。 但 是 他 的 设想 仅仅 停留 在 理论 
层面 上 ,因为 那个 时 代 , 要 想 获得 如 此 巨大 的 运算 能 力 和 存储 空间 ,几乎 是 不 可 能 的 。 那 个 
时代 的 计算 机 即便 计算 一 个 简单 表 , 都 可 能 需要 上 千年 。 但 是 随 着 计算 机 硬件 的 飞速 发 展 ， 
这 项 技术 一 夜 之 间 变 成 了 可 能 。2003 年 , 首 个 空间 换 时 间 的 表 诞生 ,被 命名 为 彩虹 表 。 彩 
虹 表 (Rainbow Table) 就 是 针对 特定 算法 ,尤其 是 不 对 称 算 法 进行 有 效 破解 的 一 种 方法 。 它 
实际 上 是 一 个 源 数据 与 加 密 数 据 之 间 对 应 的 哈 希 表 , 在 获得 加 密 数据 后 ,通过 比较 .查询 或 
者 一 定 的 运算 ,可 以 快速 定位 源 数 据 ( 即 密码 )。 理 论 上 ,如 果 不 考 虑 查询 所 需要 的 时 间 的 
话 , 哈 希 表 越 大 ,破解 也 就 越 有 效 、 越 迅速 。 

空间 换 时 间 技 术 是 目前 最 为 实用 的 密码 破解 技术 ,目前 已 经 支持 多 种 密码 破解 ,例如 
LM.NTLM.MD5.SHAl1.MYSQL SHA1 .HALFLMCHALL NTLMCHALL 等 。 

Windows 开机 密码 (Windows XP/2003 默认 都 是 LMhash, Vista/2008 默认 是 
NTLMhash) 是 将 密码 作为 哈 希 函数 的 输出 值 存储 。 哈 希 是 单 向 操作 。 即 使 攻击 者 能 够 读 
取 密 码 的 哈 希 ,他 也 不 可 能 仅仅 通过 那个 哈 希 反 向 重 构 密 码 。 但 是 可 以 利用 彩虹 哈 希 表 来 
攻击 密码 的 哈 希 表 : 通过 庞大 的 、 针 对 各 种 可 能 的 字母 组 合 预先 计算 好 的 喻 希 值 。 攻 击 者 
的 计算 机 当然 也 可 以 在 运行 中 计算 所 有 的 值 ,但 是 利用 这 个 预先 计算 好 喻 希 值 的 庞大 表格 ， 
显然 能 够 使 攻击 者 能 更 快 地 执行 级 数 规模 的 命令 一 一 假设 攻击 机 器 有 足够 大 的 RAM 来 将 
整个 表 存 储 到 内 存 中 (或 者 至 少 是 表 的 大 部 分 )。 这 就 是 个 很 典型 的 时 间 - 内 存 权衡 问题 ,但 
是 彩虹 表 唯一 不 足 之 处 是 需要 长 时 间 的 运算 来 生成 这 些 喻 希 表 , 比 如 最 小 彩虹 表 是 最 基本 
的 字母 数字 表 , 就 这 样 它 的 大 小 也 有 388MB。 初 始 的 LMhash 表 是 120GB 左右 ,目前 随 着 
算法 的 改进 ,最 新 的 LMhash 表 不 到 10GB。 

目前 成 熟 的 产品 有 AccessData 公司 的 Rainbow 产品 .Elocomsoft 公司 的 雷 表 。 

3. GPU 加 速 技术 

目前 大 部 分 密码 恢复 仍然 采用 “暴力 破解 ?或 称 为 “ 穷 举 法 ”的 技术 ,通过 足够 的 时 间 , 理 
论 上 是 可 以 恢复 某 些 软件 的 密码 的 。 但 是 其 运算 能 力 远 不 能 满足 要 求 。 这 时 候 ,GPU 这 个 
原本 应 用 于 图 像 显 示 的 处 理 器 , 却 因为 它 日 渐 强大 的 处 理 能 力 , 获 得 了 新 的 应 用 。 

在 网 络 犯罪 侦查 应 用 中 ,GPU 运算 可 以 用 于 编 解 码 、 密 码 破解 ,字符 串 匹 配 等 领域 。 目 
前 ,GPU 的 加 速 破解 技术 已 经 出 现 了 商业 化 的 成 品 ,俄罗斯 Elcomsoft 公司 的 Elcomsoft 
Distributed Password Recovery 软件 可 以 使 用 图 形 芯 片 GPU 来 破解 密码 。 其 破解 范围 包 
括 LM hash .Office 系列 .PGP、MD5 等 10 多 种 密码 。 同 时 还 可 以 利用 这 项 技术 破解 无 线 
WPA/WPA2 密码 。 国 内 的 厦门 美亚 公司 利用 CUDA 技术 开发 的 产品 “极光 ”, 除 了 能 够 完 
成 上 述 运算 外 ,还 可 以 应 用 于 QQ hash 破解 ,实战 性 较 强 。 
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4. 字典 攻击 

如 果 知 道 密码 中 可 能 使 用 的 单词 或 者 名 称 , 就 可 以 使 用 字典 搜索 。 很 多 人 会 在 密码 中 
使 用 常用 的 单词 。 如 open、access、password 等 ,对 用 户 来 说 ,记忆 单词 比 记忆 随机 组 合 的 
字母 和 数字 要 简单 得 多 ,这 类 密码 的 获取 相对 容易 。 

这 种 方法 的 优点 很 明显 。 用 户 作为 密码 输入 的 单词 列表 通常 很 有 限 而 且 不 会 超过 100 000 
个 ,现在 的 计算 机 处 理 100 000 种 字符 组 合 不 成 问题 。 密 码 破解 应 该 优先 使 用 这 种 方法 。 


4.8.5 小 结 


人 类 社会 已 经 进入 21 世纪 ,在 家 庭 , 办 公 室 计算 机 系统 包括 移动 终端 上 开始 出 现 更 复 
杂 的 验证 形式 ,这 些 新 系统 大 多 开始 使 用 生物 测定 技术 进行 验证 ,具体 验证 方法 包括 指纹 扫 
描 \ 视 网 膜 扫描 、 面 部 扫描 、 请 音 识别 等 。 这 些 利用 生物 学 特征 验证 的 方式 ,给 密码 破解 工作 
带 来 了 巨大 的 挑战 ,因此 ,未 来 的 密码 破解 之 路 , 任 重 而 道 远 。 


4.9 本 章 小 结 


本 童 主要 对 网 络 的 基础 知识 做 了 介绍 ,包括 网 络 架构 、 网 络 服务 、 网 络 应 用 、 网 页 语言 、 
数据 存储 、 网 络 威胁 、 网 络 新 技术 等 内 容 , 基 本 涵盖 了 网 络 知 识 体 系 。 通 过 本 章 的 学 习 可 以 
为 继续 学 习 网 络 犯罪 侦查 专业 知识 打 好 基础 ,提供 帮助 。 


思 考题 


. 按照 地 理 范 围 划 分 ,网 络 可 以 分 为 几 类 ? 

. 分 别 曾 述 ISO/OSI 模 型 和 TCP/IP 模型 ,以 及 二 者 的 对 应 关系 。 
. TCP/IP 体系 的 网 络 层 有 哪些 典型 协议 ? 

。218. 24. 15. 18 是 哪 一 类 地 址 ? 

简 述 网 络 接 人 方式 。 

二 进 制 0111110111000011 转换 为 十 六 进 制 是 什么 ? 
. 4G LTE 技术 包括 哪 两 种 制式 ? 

.Wi-Fi 使 用 的 是 什么 协议 ? 

. 无 线 网 络 的 加 密 技 术 有 哪些 ? 

. 请 列举 出 物 联 网 的 主要 技术 。 

. 在 实战 中 能 够 见 到 的 网 络 设备 有 哪些 (至 少 三 种 )? 
. 机械 硬盘 按照 接口 区 分 .主要 分 为 哪些 ? 

.SIM 按照 尺寸 分 为 哪 三 种 ? 

. 简 述 DNS 协议 ,并 说 明 其 用 途 。 


oT 人 d 人 woLO- 


一 
心口 


15. 
18, 
1 
18. 
9. 


请 列举 出 五 种 网 络 应 用 并 简要 说 明 。 
常见 的 网 页 语言 有 哪些 ? 
恶意 软件 分 为 哪 几 类 ? 简 述 其 各 自 特点 。 
工业 控制 系统 的 核心 是 什么 ? 

简 述 密码 破解 技术 。 


第 4 章 ”网络 犯 罪 侦 查 基 础 知识 147 


网 络 犯罪 侦查 程序 


本 章 学 习 目标 

。 网 络 犯罪 案件 职能 管辖 

。 网 络 犯罪 案件 地 域 管辖 

。 网 络 犯罪 案件 的 并 案 处 理 

。 网 络 犯罪 案件 的 受 案 和 立案 

。 查 明 事实 所 使 用 的 侦查 措施 

。 收集 证 据 所 依据 的 犯罪 事实 证 明 规则 
。 网 络 犯 罪案 件 嫌 疑 人 的 认定 

。 网 络 犯 罪案 件 的 抓 捕 时 机 选择 

。 侦查 终结 


案件 侦查 程序 是 侦查 机 关 根 据 法 律 、 法 规 的 规定 运用 侦查 权力 对 犯罪 案件 调查 和 侦破 
的 步骤 流程 。 互 联网 快速 传递 信息 、 高 效 跨 地 域 组 织 团队 、 非 接触 式 资金 转账 ,海量 数据 等 
网 络 独 有 特点 使 得 网 络 犯 罪 侦 查 与 传统 犯罪 侦查 的 方法 有 较 大 不 同 , 但 总 体 来 说 ,网 络 犯罪 
侦查 与 传统 侦查 程序 是 基本 一 致 的 。 网 络 案件 侦查 按 工作 具体 过 程 通常 可 以 分 为 受 案 、 立 
案 、 查 明 事实 与 收集 证 据 、 认 定 捕获 嫌疑 人 、 侦 查 终结 这 5 个 主要 环节 步 又 。 


5.1 案件 管辖 


5.1.1 网 络 犯罪 案件 职能 管辖 


刑事 案件 职能 管辖 是 指 公 安 机 关 、 检 察 机 关 和 审判 机 关 各 自 直接 受理 刑事 案件 的 职权 
范围 ,也 就 是 公安 机 关 、 检 察 机 关 和 审判 机 关 之 间 ,在 直接 受理 刑事 案件 范围 上 的 权限 划分 。 

《刑事 诉讼 法 ) 第 十 八条 第 一 款 规 定 :“ 刑 事 案 件 的 侦查 由 公安 机 关 进 行 ,法 律 男 有 规定 
的 除外 ”。 根 据 ( 最 高 人 民法 院 关 于 适用 二 中 华人 民 共 和 国 刑事 诉讼 法 二 的 解释 ), 法 律 男 有 
规定 的 除外 案件 是 指 : 

(1) 人 民 检 察 院 管辖 的 刑事 案件 ,包括 贪污 贿赂 犯罪 .国家 工作 人 员 的 渎职 犯罪 ` 国 家 
机 关 工 作 人 员 利 用 职权 实施 的 侵犯 公民 人 身 权利 以 及 民主 权利 的 犯罪 案件 ,经 省 级 以 上 人 
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民 检 察 院 决定 立案 侦查 的 国家 机 关 工 作 人 员 利 用 职权 实施 的 其 他 重大 犯罪 案件 。 

(2) 人 民法 院 直 接受 理 的 自诉 案件 包括 两 种 : 一 是 告诉 才 处 理 的 案件 ,包括 侮辱 、 诽 谤 
案 、 暴 力 干涉 婚姻 自由 案 、 虐 待 案 等 ; 二 是 人 民 检 察 院 没 有 提起 公诉 ,被 害 人 有 证 据 证 明 的 
轻微 刑事 案件 ,包括 故意 伤害 案 等 案件 。 

(3) 国家 安全 机 关 依 法 立案 侦查 的 危害 国家 安全 的 刑事 案件 (间谍 案 ) 。 

(4) 军队 保卫 部 门 依法 立案 侦查 的 军队 内 部 发 生 的 刑事 案件 。 

(5) 监狱 依法 立案 侦查 的 罪犯 在 监狱 内 犯罪 的 案件 。 

由 此 可 见 , 除 法 律 另 有 规定 的 这 些 案件 由 其 他 特定 的 侦查 机 关 行 使 侦查 权 外 , 绝 大 多 数 
的 刑事 案件 由 公安 机 关 负 责 立 案 侦查 , 则 其 相对 应 的 绝 大 多 数 网 络 犯罪 案件 也 由 公安 机 关 
负责 立案 侦查 。 


5.1.2 网 络 犯 罪案 件 地 域 管辖 


《公安 机 关 办 理 刑事 案件 程序 规定 ) 第 十 五 条 规定 :“ 刑 事 案 件 由 犯罪 地 的 公安 机 关 管 
辖 。 如 果 由 犯罪 嫌疑 人 居住 地 的 公安 机 关 管 辖 更 为 适宜 的 ,可 以 由 犯罪 嫌疑 人 居住 地 的 公 
安 机 关 管 辖 。”2012 年 以 前 的 网 络 犯罪 的 地 域 管 辖 与 传统 犯罪 类 同 , 以 犯罪 地 管辖 为 原则 ， 
以 居住 地 管辖 为 补充 。 但 是 由 于 网 络 犯罪 跨 地 域 作案 、 团 伙 人 员 众 多 关系 松散 、 犯 罪 利 益 链 
条 遍布 广泛 等 特点 ,司法 实践 中 经 常 出 现 某 一 网 络 案件 相关 地 域 要 素 ( 如 被 害 人 所 在 地 、 被 
攻击 网 站 所 在 地 ,嫌疑 人 使 用 服务 器 所 在 地 、 嫌 疑 人 银行 卡 开户 地 、 嫌 疑 人 取款 地 、 嫌 疑 人 居 
住地 ) 均 位 于 不 同 地 方 的 情况 ,导致 案件 管辖 确定 十 分 复杂 ,传统 的 地 域 管辖 无 法 适应 打击 
网 络 犯罪 活动 的 需要 。 

经 征求 有 关 方 面 意见 ,2012 年 出 台 的 (最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 国 刑事 诉 
讼 法 ) 的 解释 (以 下 简称 (刑事 诉讼 法 解释 )) 增 加 针对 或 者 利用 计算 机 网 络 犯罪 的 管辖 规 
定 , 确 立 相 对 宽泛 的 管辖 模式 ,规定 与 案件 有 关 的 地 方 都 有 管辖 权 。 其 第 二 条 第 二 款 规定 : 
“针对 或 者 利用 计算 机 网 络 实施 的 犯罪 ,犯罪 地 包括 犯罪 行为 发 生地 的 网 站 服务 器 所 在 地 ， 
网 络 接 和 地 ,网 站 建立 者 、 管 理 者 所 在 地 ,被 侵害 的 计算 机 信息 系统 及 其 管理 者 所 在 地 ,被 告 
人 、\ 被 害 人 使 用 的 计算 机 信息 系统 所 在 地 ,以 及 被 害 人 财产 遭受 损失 地 。” 根 据 这 一 规定 ,下 
列 三 类 与 网 络 犯罪 有 关 的 地 方 都 具有 管辖 权 : 

一 是 主要 网 络 资源 所 在 地 。 由 于 主要 网 络 资源 所 在 地 具备 开展 侦查 工作 的 优势 有 必 
要 赋予 其 管辖 权 , 和 否则 如 果 发 现 用 于 实施 犯罪 活动 的 网 站 ,没有 开展 侦查 无 法 查 清 犯罪 嫌疑 
人 所 在 地 ,也 就 无 法 开展 案件 其 他 侦查 工作 。 因 此 ,刑事 诉讼 法 解释 ?规定 将 管辖 权 赋予 犯 
罪行 为 发 生地 的 网 站 服务 器 所 在 地 ,网 络 接 人 地 ,网 站 建立 者 .管理 者 所 在 地 的 公安 机 关 。 

二 是 危害 结果 地 ,包括 被 侵害 的 计算 机 信息 系统 及 其 管理 者 所 在 地 、 被 害 人 使 用 的 计算 
机 信息 系统 所 在 地 、 被 害 人 财产 遭受 损失 地 。 之 所 以 将 “管理 者 所 在 地 ”也 规定 为 管辖 地 ,这 
是 因为 很 多 情况 下 管理 计算 机 信息 系统 的 企 事 业 单 位 与 计算 机 信息 系统 并 不 在 同一 个 地 
方 ,比如 某 公司 位 于 河北 ,其 服务 器 托管 在 北京 。 
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三 是 被 告 人 所 在 地 。 包 括 被 告 人 使 用 的 计算 机 信息 系统 所 在 地 。 

2014 年 ,两 高 及 公安 部 出 台 了 《关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 
意见 》 了 (以 下 简称 (网 络 犯罪 刑事 诉讼 程序 意见 》 ,对 网 络 犯罪 的 地 域 管辖 做 出 了 更 为 细 化 
的 规定 .《 网 络 犯罪 刑事 诉讼 程序 意见 》 第 二 条 规定 :“ 网 络 犯罪 案件 的 犯罪 地 包括 用 于 实 
施 犯罪 行为 的 网 站 服务 器 所 在 地 ,网 络 接 入 地 ,网 站 建立 者 ,管理 者 所 在 地 ,被 侵害 的 计算 机 
信息 系统 或 其 管理 者 所 在 地 ,犯罪 嫌疑 人 被害 人 使 用 的 计算 机 信息 系统 所 在 地 ,被 害 人 被 
侵害 时 所 在 地 ,以 及 被 害 人 财产 遭受 损失 地 等 。 涉 及 多 个 环节 的 网 络 犯罪 案件 ,犯罪 嫌疑 人 
为 网 络 犯 罪 提 供 帮 助 的 ,其 犯罪 地 或 者 居住 地 公安 机 关 可 以 立案 侦查 .” 该 条 规定 对 网 络 犯 
罪 的 犯罪 地 做 了 详细 解释 ,充分 列举 了 网 络 犯 罪犯 罪 地 的 情形 ,最 大 限度 地 明确 了 犯罪 地 范 
围 ,以 满足 打击 网 络 犯 罪 的 需要 。 

根据 《网络 犯罪 刑事 诉讼 程序 意见 ) 第 二 条 的 规定 ,对 于 网 络 犯罪 案件 的 管辖 原则 ,应 当 
注意 以 下 问题 

首先 ,网 络 犯罪 案件 的 管辖 与 传统 犯罪 一 样 , 以 犯罪 地 管辖 为 原则 ,以 居住 地 管辖 为 
补充 。 

其 次 ,由 于 网 络 犯罪 案件 跨 地 域 性 ,网 络 犯罪 案件 可 能 涉及 多 个 犯罪 地 的 具体 情形 《网 
络 犯罪 刑事 诉讼 程序 意见 ) 第 二 条 对 《刑事 诉讼 法 解释 ) 第 二 条 第 二 款 作 了 适当 完善 。 主 要 
有 三 处 : 一 是 用 “用 于 实施 犯罪 行为 的 网 站 服务 器 所 在 地 ”替代 “犯罪 行为 发 生地 的 网 络 服 
务 器 所 在 地 ”, 以 使 表述 更 准确 。 二 是 用 “被 侵害 的 计算 机 信息 系统 或 其 管理 者 所 在 地 ”替代 
“被 侵害 的 计算 机 信息 系统 及 其 管理 者 所 在 地 ”, 以 强调 二 者 均 可 ,避免 适用 中 引发 歧义 。 三 
是 考虑 到 网 络 犯罪 案件 的 跨 地 域 性 特征 ,犯罪 嫌疑 人 与 被 害 人 、 帮 助 犯 与 实行 犯 往 往 处 于 分 
离 状态 ,特别 明确 被 害 人 被 侵害 时 所 在 地 ,以 及 帮助 犯 犯罪 地 或 者 居住 地 公安 机 关 也 可 以 立 
案 侦查 。 对 网 络 犯罪 产业 链 上 的 非法 支付 平台 ,非法 广告 平台 流量 商 、 木 马 病毒 编写 者 及 
代理 商 \ 个 人 信息 贩卖 商 、 身 份 证 银行 卡 贩卖 商 等 网 络 犯 罪 的 帮助 犯 有 和 较 强 的 针对 性 ,明确 
了 网 络 犯罪 帮助 犯 的 犯罪 地 或 者 居住 地 的 公安 机 关 可 以 立案 侦查 。 

最 后 ,考虑 到 网 络 犯罪 案件 的 特殊 性 《网 络 犯罪 刑事 诉讼 程序 意见 》? 第 二 条 在 例 举 网 络 
犯罪 案件 犯罪 地 的 具体 情形 后 专门 增加 了 “等 ”, 以 适应 司法 实践 的 复杂 情况 。 例 如 ,通过 互 
联网 向 甲 地 的 网 民 忽 售 假币 、 假 发 票 或 者 炉 动 甲 地 的 人 员 非 法 游行 集会 等 情形 ,按照 传统 管 
辖 规定 , 甲 地 公安 机 关 能 和 否 依据 犯罪 结果 地 立案 侦查 ,可 能 存在 争议 ,而 其 他 有 管辖 权 的 地 
区 也 往往 由 于 没有 现实 危害 未 立案 侦查 。 经 研究 认为 ,为 了 有 力 惩治 网 络 犯罪 ,对 于 此 种 情 
 , 甲 地 公安 机 关 可 以 依据 (网 络 犯罪 刑事 诉讼 程序 意见 ) 立 案 侦 查 。 

以 上 规定 为 网 络 犯罪 地 域 管辖 的 一 般 原 则 。 依 照 此 原则 ,对 于 有 多 个 犯罪 地 的 网 络 犯 
罪案 件 , 各 犯罪 地 的 公安 机 关 都 具有 管辖 权 。 此 种 情况 很 容易 产生 网 络 犯罪 案件 的 管辖 争 
议 或 者 出 现 具 有 管辖 权 的 机 关 互 相 推 请 ,影响 侦查 ,起诉 和 审判 活动 的 顺利 进行 。 为 此 《网 


外 公 通 字 10 号 。 
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络 犯罪 刑事 诉讼 程序 意见 进一步 明确 了 网 络 犯罪 案件 的 地 域 管辖 争议 处 理 原则 、 并 案 处 理 
规定 ,指定 管辖 规定 。 

1. 网 络 犯 罪案 件 的 地 域 管 辖 争议 处 理 原则 

网 络 犯 罪 确 定 了 犯罪 地 为 主 、 嫌 疑 人 居住 地 为 辅 的 管辖 原则 ,同时 规定 了 有 多 个 犯罪 地 
的 网 络 犯罪 案件 由 最 初 受 理 的 公安 机 关 或 者 主要 犯罪 地 公安 机 关 立 案 侦查 ,但 在 司法 实践 
中 由 于 诉讼 风险 ,侦查 成 本 、 法 律 适用 理解 等 多 方面 因素 各 地 公安 机 关 对 于 网 络 犯罪 案件 地 
域 管辖 的 争议 时 有 发 生 。 究 其 引起 争议 的 模糊 不 清 之 处 ,一 是 网 络 犯罪 均 为 多 个 犯罪 地 且 
呈现 产业 链条 化 形态 ,侦查 前 期 较 难 确定 主要 犯罪 地 ; 二 是 网 络 犯罪 案件 管辖 规定 涉及 的 
最 初 受理 地 与 主要 犯罪 地 为 两 者 均 可 的 关系 ,并 无 明确 的 主 辅 次 序 ; 三 是 法 律 和 司法 解释 
均 没 有 对 “必要 时 ,可 以 由 犯罪 嫌疑 人 居住 地 公安 机 关 立 案 侦查 ”的 必要 情形 加 以 诠释 。 

尽管 (网 络 犯罪 刑事 诉讼 程序 意见 》 并 没有 对 各 类 网 络 犯罪 案件 的 管辖 争议 出 台 明 确 意 
见 , 而 是 确定 了 网 络 犯罪 案件 的 地 域 管辖 争议 处 理 原 则 , 即 “ 有 争议 的 ,按照 有 利于 查 清 犯 罪 
事实 ,有 利于 诉讼 的 原则 ,由 共同 上 级 公安 机 关 指 定 有 关公 安 机 关 立 案 侦查 ”。 

2， 跨 省 (自治 区 直辖 市 ) 重 大 网 络 犯罪 案件 的 异地 指定 管辖 

指定 管辖 是 相对 于 法 定 管辖 而 言 的 , 指 司法 实践 中 存在 地 域 管辖 不 明 或 有 争议 ,或 者 是 
有 管辖 权 的 公安 机 关 、 人 民 检 察 院 和 人 民法 院 无 法 或 不 宜 行使 管辖 权 的 情形 ,由 上 级 机 关 指 
定 下 级 机 关 管辖 或 将 案件 移送 的 规定 。 对 于 公安 机 关 而 言 , 管 辖 不 明确 或 者 有 争议 的 网 络 
犯罪 案件 ,可 以 由 有 关公 安 机 关 协 商 。 协 商 不 成 的 ,由 共同 的 上 级 公安 机 关 指 定 管辖 。 对 于 
有 管辖 权 的 公安 机 关 无 法 或 不 宜 行使 管辖 权 的 情形 ,《 网 络 犯罪 刑事 诉讼 程序 意见 ) 第 六 条 
规定 :“ 具 有 特殊 情况 ,由 异地 公安 机 关 立 案 侦查 更 有 利于 查 清 犯 罪 事 实 、 保 证 案件 公正 处 
理 的 跨 省 (自治 区 、 直 辖 市 ) 重 大 网 络 犯 罪案 件 , 可 以 由 公安 部 商 最 高 人 民 检 察 院 和 最 高 人 民 
于 网 络 犯罪 案件 地 域 管辖 复杂 ,在 司法 实践 中 人 民 检 察 院 对 于 公安 机 关 提 请 批准 逮 
捕 、 移 送审 查 起 诉 的 网 络 犯罪 案件 ,第 一 审 人 民法 院 对 于 已 经 受理 的 网 络 犯罪 案件 ,可 能 经 
审查 没有 管辖 权 。 在 此 阶段 再 自行 移送 有 管辖 权 的 单位 可 能 会 发 生 不 能 及 时 结案 ,超期 虹 
押 的 情形 。 针 对 此 种 情形 人 《网络 犯 罪刑 事 诉讼 程序 意见 》 第 八条 规定 ， 经 审查 发 现 没 有 管 
辖 权 的 ,可 以 依法 报请 共同 上 级 人 民 检 察 院 、 人 民法 院 指 定 管辖 。” 
3. 对 已 受理 的 网 络 犯 罪案 件 发 现 没 有 管辖 权 的 处 理 
于 网 络 犯罪 具有 管辖 地 复杂 、 犯 罪 活动 关系 复杂 的 特点 ,人 民 检 察 院 对 于 公安 机 关 提 
请 批准 逮捕 、 移 送审 查 起 诉 的 网 络 犯罪 案件 ,第 一 审 人 民法 院 对 于 已 经 受理 的 网 络 犯罪 案 
件 ,可 能 出 现 经 审查 发 现 没有 管辖 权 的 情形 。 这 可 能 是 犯罪 嫌疑 人 、 被 告 人 提出 管辖 异议 后 
审查 发 现 异议 成 立 , 或 者 人 民 检 察 院 、 人 民法 院 依 职权 审查 发 现 没 有 管辖 权 。 为 保证 及 时 结 
案 ,避免 超期 旷 押 ,网 络 犯罪 刑事 诉讼 程序 意见 ?规定 通过 检察 院 , 法 院 提 请 上 级 指定 管辖 
的 方式 予以 解决 ,而 不 再 移送 有 管辖 权 的 地 方 。 

《网 络 犯 罪刑 事 诉讼 程序 意见 ) 第 八条 规定 :“ 为 保证 及 时 结案 ,避免 超期 圈 押 ,人 民 检 
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察 院 对 于 公安 机 关 提 请 批准 逮捕 、 移 送审 查 起 诉 的 网 络 犯罪 案件 ,第 一 审 人 民法 院 对 于 已 经 
受理 的 网 络 犯罪 案件 ,经 审查 发 现 没 有 管辖 权 的 ,可 以 依法 报请 共同 上 级 人 民 检 察 院 、 人 民 
法 院 指定 管辖 .” 

需要 说 明 的 是 ,本 条 规定 有 先例 可 循 。( 网 络 赌博 犯罪 意见 》 规 定 :“ 为 保证 及 时 结案 ， 
避免 超期 圳 押 , 人 民 检 察 院 对 于 公安 机 关 提 请 审查 逮捕 、 移 送审 查 起 诉 的 案件 ,人 民法 院 对 
于 已 进入 审判 程序 的 案件 ,犯罪 嫌疑 人 、 被 告 人 及 其 辩护 人 提出 管辖 异议 或 者 办 案 单位 发 现 
没有 管辖 权 的 , 受 案 人 民 检 察 院 、 人 民法 院 经 审查 可 以 依法 报请 上 级 人 民 检 察 院 、 人 民法 院 
指定 管辖 ,不 再 自行 移送 有 管辖 权 的 人 民 检 察 院 、 人 民法 院 。” 

4. 网 络 共同 犯罪 的 先行 追 滴 及 后 到 案犯 罪 嫌疑 人 、 被 告 人 的 管辖 

网 络 犯罪 由 于 跨 地 域 实施 且 分 工 合作 ,经常 出 现 只 抓获 部 分 犯罪 嫌疑 人 , 而 其 他 犯罪 嫌 
颖 人 没 到 案 的 情形 (有 些 案件 的 犯罪 嫌疑 人 甚至 位 于 境外 )。 对 于 此 种 情形 《网 络 犯罪 刑事 
诉讼 程序 意见 ?规定 ,如 果 对 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 的 犯罪 事实 可 以 认定 的 ,可 以 依 
法 先行 追究 。 

《网 络 犯罪 刑事 诉讼 程序 意见 ?第 九条 规定 :“ 部 分 犯罪 嫌疑 人 在 逃 ,但 不 影响 对 已 到 案 
共同 犯罪 嫌疑 人 、 被 告 人 的 犯罪 事实 认定 的 网 络 犯罪 案件 ,可 以 依法 先行 追究 已 到 案 共同 犯 
罪 嫌 疑 人 、 被 告 人 的 刑事 责任 。 在 逃 的 共同 犯罪 嫌疑 人 ,被 告 人 归案 后 ,可 以 由 原 公 安 机 关 、 
人 民 检 察 院 、 人 民法 院 管辖 其 所 涉及 的 案件 。” 

据 实践 反映 ,在 对 部 分 犯罪 嫌疑 人 、 被 告 人 先行 追究 刑事 责任 后 ,对 于 后 到 案 的 犯罪 嫌 
疑 人 的 管辖 ,实践 中 存在 较 大 争议 ,特别 是 指定 管辖 的 案件 。 例 如 , 某 地 办 理 跨国 电信 诈骗 
案 中 ,由 于 犯罪 嫌疑 人 全 部 位 于 境外 ,遍及 印尼 马来西亚、 泰国 越南 、 束 埔 寨 、 斯 里 兰 卡 等 
东南 亚 国 家 , 受 限 于 国际 执法 合作 的 流程 和 所 在 国 的 内 政 等 诸多 原因 ,被 抓获 的 505 名 犯罪 
嫌疑 人 分 6 批 才 全 部 遗 返 回国 。 由 于 检 法 部 门 的 指定 管辖 均 是 指定 到 人 ,因此 也 需要 分 批 
申请 ,给 办 案 带 来 很 大 困难 ,该 地 公检法 部 门 仅 申请 指定 管辖 工作 前 后 共 耗 时 半年 之 久 , 且 
易 导 致 超期 蝇 押 等 问题 。 因 此 网络 犯 罪刑 事 诉讼 程序 意见 》 进 一 步 明确 ,后 到 案 的 共同 犯 
罪 嫌 疑 人 、 被 告 人 涉及 的 案件 ,可 以 由 原 公 安 机 关 、 人 民 检 察 院 、 人 民法 院 一 并 管辖 。 
需要 说 明 的 是 ,这 一 规定 有 先例 可 循 。《 网 络 赌博 犯罪 意见 ) 规 定 :“ 如 果 有 开设 赌场 的 
犯罪 嫌疑 人 尚未 到 案 , 但 是 不 影响 对 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 的 犯罪 事实 认定 的 ,可 
以 依法 对 已 到 案 者 定罪 处 罚 。《 流 动 性 团伙 性 跨 区 域 性 犯罪 意见 ) 第 七 条 也 规定 :“ 对 部 分 
共同 犯罪 嫌疑 人 人、 被告 人 在 逃 的 案件 , 现 有 证 据 能 够 认定 已 到 案犯 罪 嫌疑 人 、 被 告 人 为 共同 
犯罪 的 ,可 以 先行 追究 已 到 案犯 罪 嫌 疑 人 ,被告 人 的 刑事 责任 。” 


5.1.3 网 络 犯 罪案 件 的 并 染 处 理 规定 


并 案 处 理 是 指 将 原本 应 由 不 同 机 关 管 辖 的 数 个 案件 ,合并 由 同一 个 机 关 管 辖 处 理 。 并 
案 处 理 在 性 质 上 属于 管辖 权 的 合并 ,管辖 机 关 可 以 突破 法 定 的 地 域 管辖 的 规定 ,将 原本 应 由 
不 同 机 关 管 辖 的 数 个 案件 ,在 程序 上 合并 处 理 。 对 于 公安 机 关 而 言 , 并 案 处 理 意味 着 公安 机 
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关 可 以 对 原本 应 由 其 他 公安 机 关 管 辖 的 数 个 案件 合并 立案 及 并 案 侦查 .《 网 络 犯罪 刑事 诉 
讼 程序 意见 ;第 四 条 规定 :“ 具 有 下 列 情形 之 一 的 ,有 关公 安 机 关 可 以 在 其 职责 范围 内 并 案 
侦查 ,需要 提请 批准 逮捕 、 移 送审 查 起 诉 、 提 起 公诉 的 ,由 该 公安 机 关 所 在 地 的 人 民 检 察 院 、 
人 民法 院 受理 : (1) 一 人 犯 数 罪 的 ; (2) 共 同 犯罪 的 ; (3) 共 同 犯罪 的 犯罪 嫌疑 人 、 被 告 人 还 
实施 其 他 犯罪 的 ;(4) 多 个 犯罪 嫌疑 人 、 被 告 人 实施 的 犯罪 存在 关联 ,并 案 处 理 有 利于 查 明 
案件 事实 的 。” 

网 络 犯 罪 通 常 是 流动 性 .团伙 性 、 跨 地 域 性 的 犯罪 ,一 案 数 人 数 地 或 一 人 数 案 数 地 或 团 
伙 时 分 时 合 交叉 作案 的 情况 较为 常见 ,导致 网 络 犯罪 地 域 管辖 极为 复杂 (参见 图 5. 1)。 如 
果 每 起 跨 地 域 性 质 的 网 络 犯罪 案件 都 采取 指定 管辖 和 移交 管辖 的 方式 来 确定 管辖 ,耗费 的 
司法 资源 难以 计数 ,并 且 会 极 大 地 延误 侦查 时 机 。 


团伙 A- 组 织 者 团伙 B- 组 织 者 


木马 程序 制作 团伙 A NS 程序 制作 团伙 B 


游戏 盗号 团伙 


了 


网 络 交易 诈骗 团伙 QQ 诈骗 团伙 


图 5.1 网 络 犯罪 团伙 之 间 关系 错综复杂 


QQ 盗号 团伙 


司法 实践 中 司法 机 关 采 取 并 案 处 理 的 方式 将 符合 上 述 规定 条 件 的 网 络 犯罪 并 案 侦 查 、 
并 案 起 诉 、. 并 案 审判 ,简化 了 指定 管辖 的 程序 。 

(1)“ 一 人 犯 数 罪 的 ?网 络 犯罪 。 由 于 网 络 犯罪 的 成 本 低 、 隐 项 性 高 ,犯罪 收益 大 且 罪 恶 
感 小 ,网 络 犯罪 作案 者 几乎 都 是 多 次 作案 。 随 着 移动 互联 网 的 普及 ,流窜 作案 的 情况 也 较为 
常见 。 典 型 的 表现 形式 比如 网 络 盗窃 ,网络 诈骗 这 类 的 网 络 侵 财 犯罪 ,犯罪 者 为 逃避 打击 往 
往 采用 移动 上 网 ,异地 流窜 的 方式 作案 ,盗窃 或 诈骗 得 手 后 立即 销毁 相应 犯罪 证 据 , 迅 速 转 
移 到 另 一 处 重新 开始 作案 。 公 安 机 关 对 诸如 此 类 犯罪 地 分 属 各 地 ,地域 管 辖 不 同 的 同一 人 
网 络 犯罪 案件 可 以 并 案 侦查 。 

(2)“ 共 同 犯罪 ?的 网 络 犯罪 。 一 种 网 络 犯罪 往往 被 细 化 成 多 个 犯罪 环节 ,由 负责 各 环 
节 的 不 同 犯罪 团伙 共同 实施 。 比 如 《关于 办 理 利 用 互联 网 、 移 动 通讯 终端 .声讯 台 制 作 、 复 
制 . 出 版 ,贩卖 .传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ?第 七 条 规定 : 
“明知 他 人 实施 制作 、 复 制 、 出 版 贩卖 ,传播 淫秽 电子 信息 犯罪 ,为 其 提供 互联 网 接 入 、 服 务 
器 托管 .网 络 存 储 空间 、 通 讯 传输 通道 费用 结算 等 帮助 的 ,对 直接 负责 的 主管 人 员 和 其 他 直 
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接 责任 人 员 , 以 共同 犯罪 论处 .诸如 此 类 的 共同 犯罪 的 网 络 犯罪 案件 理应 并 案 侦 查 。 

(3)“ 共 同 犯罪 的 犯罪 嫌疑 人 、 被 告 人 还 实施 其 他 犯罪 的 ”网 络 犯罪 。 此 种 情形 在 网 络 
犯罪 案件 中 较为 常见 。 比 如 一 个 网 络 广告 联盟 明知 其 客户 是 淫秽 网 站 ,仍然 通过 投放 广告 
的 方式 向 其 提供 资金 ,对 其 主管 人 员 按 照 传播 淫秽 物品 牟利 罪 的 共同 犯罪 处 罚 。 进 一 步 侦 
查 发 现 , 该 网 络 广告 联盟 在 明知 其 客户 是 赌博 网 站 的 情况 下 为 赌博 网 站 投放 广告 收取 费用 ， 
构成 了 开设 赌场 罪 的 共同 犯罪 ,两 案 可 以 并 案 侦 查 。 

(4)“ 多 个 犯罪 嫌疑 人 、 被 告 人 实施 的 犯罪 存在 关联 ,并 案 处 理 有 利于 查 明 案件 事实 的 ” 
网 络 犯罪 。 当 前 各 种 网 络 犯罪 链条 已 日 渐 成 熟 , 网 上 出 现 很 多 分 工 明确 的 专业 化 犯罪 团伙 ， 
因 网 络 交易 .技术 支持 ,资金 支付 结算 等 关系 形成 多 层级 链条 。 不 论 此 种 链条 结构 为 紧密 层 
级 关系 的 网 络 赌博 、 网 络 传 销 类 型 的 金字 塔 状 结构 ,还 是 比较 松散 的 ,类 似 一 个 木马 作者 可 
以 向 多 个 盗号 团伙 销售 木马 ,而 一 个 盗号 团伙 可 以 从 多 个 木马 作者 购买 木马 这 种 上 下 游 多 
对 多 的 网 状 结构 ,链条 上 的 犯罪 都 可 以 被 认为 是 存在 关联 。《 网 络 犯罪 刑事 诉讼 程序 意见 》 
第 五 条 规定 :“ 对 因 网 络 交易 .技术 支持 、 资 金 支付 结算 等 关系 形成 多 层级 链条 、 跨 区 域 的 网 
络 犯罪 案件 ,共同 上 级 公安 机 关 可 以 按照 有 利于 查 清 犯罪 事实 ` 有 利于 诉讼 的 原则 ,指定 有 
关公 安 机 关 一 并 立案 侦查 ,需要 提请 批准 逮捕 、 移 送审 查 起 诉 ` 提 起 公诉 的 ,由 该 公安 机 关 所 
在 地 的 人 民 检 察 院 ,人民 法院 受理 .” 

对 于 检察 机 关 或 审判 机 关 而 言 ,并 案 处 理 意 味 着 检察 机 关 或 审判 机 关 可 以 对 原本 应 由 
其 他 检察 机 关 或 审判 机 关 管 辖 的 数 个 案件 合并 审查 起 诉 或 审判 。 由 于 网 络 犯罪 的 形式 特 
点 ,经 常 存在 侦查 阶段 本 应 并 案 侦 查 的 网 络 犯 罪案 件 被 不 同 地 方 公安 机 关 根 据 不 同 被 害 人 
的 报案 分 别 立案 侦查 的 情形 。 人 民法 院 或 者 人 民 检 察 院 发 现 这 一 问题 后 ,如 果 继 续 分 案 处 
理 , 难 以 对 网 络 犯罪 案件 的 事实 作出 全 面 、 准 确 的 审查 .认定 ,影响 案件 公正 处 理 ; 对 本 可 并 
案 审理 的 案件 分 案 处 理 ,也 影响 诉讼 效率 ,耗费 司法 资源 。《 网 络 犯罪 刑事 诉讼 程序 意见 ;第 
七 条 规定 :“ 人 民 检察 院 对 于 公安 机 关 移 送审 查 起 诉 的 网 络 犯罪 案件 ,发 现 犯罪 嫌疑 人 还 有 
犯罪 被 其 他 公安 机 关 立 案 侦查 的 ,应 当 通知 移送 审查 起 诉 的 公安 机 关 。 人 民法 院 受 理 案件 
后 ,发 现 被 告 人 还 有 犯罪 被 其 他 公安 机 关 立 案 侦 查 的 ,可 以 建议 人 民 检 察 院 补充 侦查 。 人 民 
检察 院 经 审查 ,认为 需要 补充 侦查 的 ,应 当 通 知 移送 审查 起 诉 的 公安 机 关 。 经 人 民 检 察 院 通 
知 , 有 关公 安 机关 根 据 案件 具体 情况 ,可 以 对 犯罪 嫌疑 人 所 犯 其 他 犯罪 并 案 侦查 .” 此 条 款 专 
门 对 网 络 犯罪 案件 在 人 民 检 察 院 审查 起 诉 阶段 及 人 民法 院 受 理 案件 阶段 的 并 案 处 理 做 出 了 
规定 。 


5.1.4 小 结 


对 于 网 络 犯罪 侦查 人 员 ,学 习 网 络 犯罪 案件 的 管辖 是 办 理 网 络 案件 的 基本 功 。 了 解 网 
络 犯罪 案件 的 地 域 管辖 争议 处 理 和 指定 管辖 原则 ,掌握 网 络 犯罪 案件 的 并 案 处 理 规定 ,是 侦 
破 网 络 案件 的 必修 课 。 掌 握 管辖 原则 是 进行 网 络 犯罪 侦查 的 良好 开端 。 
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5.2.1 网 络 犯 罪 索 件 的 受 案 


刑事 案件 的 受 案 , 是 指 司 法 机 关 对 于 公民 报案 、 控 告 、 举 报 、 扭 送 犯 罪 嫌疑 人 、 犯 罪 嫌疑 
人 自首 或 者 其 他 行政 执法 机 关 、 司 法 机 关 移 送 的 案件 的 接受 处 理工 作 。《 刑 事 诉讼 法 ) 第 一 
百 零 八条 规定 :“ 公 安 机 关 、 人 民 检 察 院 或 者 人 民法 院 对 于 报案 、 控 告 .举报 ,都 应 当 接受 。” 
受 案 的 程序 如 下 : 

1. 问 明 情 况 

对 于 报案 ,控告 举报、 自首 、 扭 送 的 ,都 应 当 立 即 接受 , 问 明 情 况 ,并 制作 (询问 笔录 )。 
必要 时 可 以 录音 、 录 像 。《 询 问 笔 录 ) 应 当 包 括 以 下 内 容 : 

(1) 告知 控告 人 、 举 报 人 应 当 如 实 提供 情况 ,不 得 诬告 .陷害 ,以 及 诬告 .陷害 应 负 的 法 
律 责任 ; 

(2) 案件 的 详细 情况 ; 

(3) 犯罪 嫌疑 人 的 详细 情况 ; 对 自首 的 ,应 当 问 明 自 首 的 方式 、 动 机、 目的 `. 过程、 同 案 
人 被 害 人 基本 情况 等 ; 

(4) 被 害 人 ,证 人 的 详细 情况 ; 

(5) 涉案 物品 、 工 具 详细 情况 。 

2, 接受 证 据 

受 案 机 关 对 报案 人 、 控 告 人 、 举 报 人 、 扭 送 人 提供 的 有 关 证 据 材 料 、 物 品 等 应 当 登 记 , 对 
于 电子 数据 应 当 采 取 符 合 司法 规定 的 提取 方式 ,必要 时 拍照 .录音 、 录 像 ,并 妥善 保管 。 移 送 
案件 时 ,应 当 将 有 关 证 据 材 料 和 物品 一 并 移交 。 接 受 有 关 证 据 材 料 、 物品 ,应 当 制 作 《接受 证 
据 清 单 ) 一 式 两 份 , 写 明 名 称 ,规格 .数量 ,特征 等 ,由 证 据 提 供 人 签名 ( 盖 章 ) 、 捧 指 印 ,一 份 交 
证 据 提 供 人 ,一 份 留存 。 

3. 制作 登记 及 回执 文书 

制作 《接受 刑事 案件 登记 表 ), 连 同 其 他 受 案 材 料 报 本 单位 领导 审批 后 妥善 保管 .存档 备 
查 。 同 时 对 报案 、 控 告 、 举 报 、 扭 送 的 ,应 当 制 作 《接受 刑事 案件 回执 单 》, 交 报案 人 、 控 告 人 、 
举报 人 、 扭 送 人 ,并 留存 一 份 备查 ; 对 行政 执法 机 关 或 其 他 司法 机 关 移 送 的 涉嫌 犯罪 案件 ， 
应 当 在 (移送 案件 通知 书 》 等 文书 或 者 其 他 送 达 回 执 上 签收 。 


4. 审查 
对 接受 的 案件 ,或 者 发 现 的 犯罪 线索 ,应 当 迅速 进行 审查 。 
5. 移送 


经 过 审查 ,认为 有 犯罪 事实 ,但 不 属于 自己 管辖 的 案件 ,应 当 立 即 报 经 县 级 以 上 司法 机 
关 负 责 人 批准 ,制作 移送 案件 通知 书 ,移送 有 管辖 权 的 机 关 处 理 。 对 于 不 属于 自己 管辖 又 必 
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须 采 取 紧 急 措 施 的 ,应 当先 采取 紧急 措施 ,然后 办 理 手续 ,移送 主管 机 关 。 

网 络 犯 罪案 件 的 受 案 程 序 与 传统 案件 程序 相同 ,只 是 由 于 网 络 犯罪 的 特有 形式 特点 使 
其 受 案 环节 也 存在 相对 应 的 需 注意 之 处 : 

首先 在 问 明 情况 及 接受 证 据 环 节 应 注意 网 络 线索 及 电子 数据 证 据 的 收集 。 网 络 犯罪 是 
传统 犯罪 的 网 络 表现 形式 ,具有 传统 犯罪 所 没有 的 网 络 属性 。 网 络 犯罪 活动 与 承载 其 犯罪 
行为 的 网 络 环境 息息相关 ,不 受 时 间 、 地 点 限制 ,没有 特定 的 表现 场所 和 客观 表现 形态 ,犯罪 
的 网 上 证 据 由 于 网 络 环 境 的 特点 甚至 即时 存 有 、 即 时 消失 。 这 些 特点 就 要 求 网 络 犯 罪案 件 
的 侦查 人 员 在 案件 的 受理 阶段 要 注意 网 络 线索 及 电子 数据 证 据 的 收集 ,受理 报案 、 控 告 、 举 
报 、 自 首 , 扭 送 的 案件 , 问 明 情况 接受 证 据 时 除了 要 询问 收集 传统 的 案件 详情 、 被 害 人 嫌疑 人 
详情 外 ,还 要 仔细 询问 ,全面 收 集 犯罪 行为 所 处 网 络 环境 情况 涉案 网 络 线索 、 网 上 操作 细节 
等 相关 情况 ,对 报案 人 ,控告 人 、 举 报 人 提供 的 一 些 即 时 性 网 络 线索 及 电子 数据 证 据 要 快速 
操作 、 及 时 提取 固定 ,防止 涉案 证 据 灭失 。 比 如 侦查 人 员 在 受理 编造 虚假 信息 在 信息 网 络 上 
散布 ,造成 公共 秩序 严重 混乱 的 网 络 寻 岩 滋 事 案 件 或 网 络 编造 ,故意 传播 虚假 恕 怖 消息 案件 
时 ,应 在 接 到 报案 人 报案 的 第 一 时 间 审 查 涉案 网 上 信息 ,并 截屏 固定 证 据 , 防 止 涉 案 网 上 信 
息 被 修改 、 删 除 ,导致 证 据 灭失 ,同时 也 为 下 一 步 涉案 信息 的 溯源 工作 提供 支撑 。 

由 于 网 络 犯罪 隐蔽 性 极 强 、 高 技术 性 特征 明显 ,一 些 案 件 的 受害 人 在 报案 时 其 至 只 知道 
自己 的 损失 情况 ,对 犯罪 分 子 作 案 的 时 间 、 方 式 等 详情 却 一 无 所 知 。 此 时 受 案 人 员 应 帮助 报 
案 人 回忆 案 发 时 细节 ,全 面 了 解 报 案 人 的 网 络 行为 情况 ,在 受 案 的 环节 同步 分 析 还 原案 发 时 
网 络 情形 , 方 能 全 面 掌握 案情 。 比 如 在 网 络 盗窃 案件 的 受 案 环节 , 受 案 人 员 需 要 详细 问 清 被 
害 人 的 上 网 工具 、 上 网 时 间 、 有 哪些 网 络 金 融 账 号 .开通 了 哪些 金融 服务 、 接 到 哪些 电话 、 使 
用 哪些 即时 网 络 通信 软件 、 接 到 哪些 短信 浏览 过 哪些 网 站 .下 载 过 哪些 软件 ,扫描 过 哪些 二 
维 码 .连接 过 哪些 热点 ,点 击 过 哪些 链接 、 转 款 明细 、 验 证 码 接收 手机 短信 清单 等 信息 ,才能 
对 犯罪 分 子 作案 方式 详情 有 所 了 解 。 

其 次 网 络 犯罪 侦查 的 受 案 在 审查 环节 往往 很 难 认定 是 否 达到 立案 标准 , 需 开 展 初 查 。 
网 络 犯罪 案件 隐蔽 性 极 强 ,并 且 犯 罪证 据 往 往 即 时 存 有 、 即 时 消失 ,因此 公安 机 关 仅 赁 报案 、 
控告 .举报 和 自首 材料 常常 无 法 判断 是 否 有 犯罪 事实 发 生 , 是 否 达到 刑事 案件 立案 标准 。 比 
如 网 络 诈骗 案件 往往 出 现 嫌疑 人 单 次 作案 骗取 少量 资金 ,通过 多 次 作案 积 少 成 多 大 量 非法 
件 利 的 情况 。 仅 以 单 次 作案 的 被 骗 金 额 达 不 到 诈骗 罪 的 立案 标准 ,需要 查询 嫌疑 人 金融 账 
户 的 资金 明细 。 诸 如 上 述 情形 的 大 量 网 络 犯罪 案件 在 受 案 的 审查 环节 难 认 定 是 否 达到 立案 
标准 ,需要 在 受 案 环节 就 开展 初 查 工作 《网 络 犯罪 刑事 诉讼 程序 意见 》 第 十 条 规定 了 网 络 
犯罪 案件 的 初 查 制度 ,“ 对 接受 的 网 络 犯罪 案件 或 者 发 现 的 犯罪 线索 ,在 审查 中 发 现 案件 线 
索 或 者 事实 不 明 , 需 要 经 过 调查 才能 够 确认 是 否 达到 犯罪 追诉 标准 的 ,经 办 案 部 门 负 责 人 批 
准 ,可 以 在 立案 前 进行 初 查 。 初 查 过 程 中 ,可 以 采用 询问 、 查 询 、 勘 验 ,鉴定 、 调 取证 据 材 料 等 
不 限制 初 查 对 象 人 身 、 财 产权 利 的 措施 .但 不 得 对 初 查 对 象 采取 强制 措施 和 查封 .扣押 \ 冻 结 
财产 。” 


第 5 章 网 络 犯罪 侦查 程序 157 


需要 注意 的 是 ,对 于 初 查 阶段 通过 询问 、 查 询 、 勘 验 、 鉴 定 、 调 取证 据 材 料 等 措施 收集 的 
证 据 材 料 ,符合 上 述 规 定 的 ,在 刑事 诉讼 中 可 以 作为 证 据 使 用 。 

再 次 网 络 犯罪 案件 的 线索 来 源 广泛 。 除 了 以 上 提 到 的 公民 报案 、 控 告 . 举 报 、 扭 送 犯 罪 
嫌疑 人 、 犯 罪 嫌 疑 人 自首 或 者 其 他 行政 执法 机 关 、 司 法 机 关 移 送 等 线索 来 源 外 ,公安 机 关 自 
行 发 现 也 是 网 络 犯 罪案 件 线索 的 重要 来 源 。 


5.2.2 网 络 犯 罪案 件 的 立案 


刑事 案件 的 立案 ,是 指 司法 机 关 发 现 犯罪 事实 或 者 犯罪 嫌疑 人 ,或 者 对 于 受 案 的 材料 进 
行 审查 ,认为 有 犯罪 事实 需要 追究 刑事 责任 且 属 于 自己 管辖 的 ,决定 作为 刑事 案件 进行 侦查 
或 者 审判 的 诉讼 程序 。 任 何 刑事 案件 侦查 活动 的 开展 都 是 以 立案 为 标志 的 。 只 有 经 过 立案 
程序 ,司法 机 关 的 侦查 活动 才 有 法 律 依据 和 法 律 保障 ,才能 产生 法 律 效力 。 

《刑事 诉讼 法 ) 第 一 百 一 十 条 规定 :“ 人 民法 院 、 人 民 检 察 院 或 者 公安 机 关 对 于 报案 、 控 
告 .举报 和 自首 的 材料 ,应 当 按 照管 辖 范 围 ,迅速 进行 审查 ,认为 有 犯罪 事实 需要 追究 刑事 责 
任 的 时 候 , 应 当 立 案 ; 认为 没有 犯罪 事实 ,或 者 犯罪 事实 显著 轻微 ,不 需要 追究 刑事 责任 的 
时 候 , 不 予 立案 ,并 且 将 不 立案 的 原因 通知 控告 人 。 控 告 人 如 果 不 服 ,可 以 申请 复议 .根据 
该 条 规定 ,立案 必须 符合 以 下 条 件 。 

1. 有 犯罪 事实 

有 犯罪 事实 是 指 客观 上 存在 着 某 种 应 受刑 事 处 罚 的 犯罪 行为 ,并 且 有 一 定 的 事实 材料 
证 明 该 犯罪 行为 确 已 发 生 。 其 中 “应 受刑 事 处 罚 的 犯罪 行为 " 指 该 行为 必须 是 触犯 刑法 , 依 
照 刑法 的 规定 构成 犯罪 的 行为 ;“ 一 定 的 事实 材料 ”指证 明 犯 罪行 为 发 生 的 相应 的 客观 证 
据 , 而 不 能 是 凭空 听 说 或 主观 想象 ;“ 确 已 发 生 ” 指 犯罪 事实 确 已 存在 ,包括 犯罪 行为 已 经 实 
施 、 正 在 实施 和 预备 犯罪 。 

2. 达到 刑事 立案 标准 

达到 刑事 立案 标准 是 指 犯罪 行为 达到 追究 刑事 责任 的 最 低 标准 。 犯 罪 事实 显著 轻微 、 
危害 不 大 ,未 达到 追究 刑事 责任 的 最 低 标准 的 ,不 予 立案 。 

3.， 需要 追究 刑事 责任 

需要 追究 刑事 责任 是 指 依照 刑法 规定 应 当 追 究 犯 罪行 为 人 的 刑事 责任 。 犯 罪 已 过 追诉 
时 效 期 限 的 ,经 特赦 令 免 除 刑罚 的 ,依照 刑法 告诉 才 处 理 的 犯罪 没有 告诉 或 者 撤回 告诉 的 ， 
犯罪 嫌疑 人 、 被 告 人 死亡 的 ,依照 刑法 规定 不 追究 刑事 责任 ,不 予 立 案 。 

4. 符合 案件 管辖 规定 , 属 本 单位 管辖 

只 有 按照 法 律 规定 属 本 单位 管辖 的 案件 才 可 立案 ,否则 应 依 案件 管辖 规定 将 案件 移交 
相关 司法 机 关 处 理 , 或 告知 当事人 向 人 民法 院 自诉 。 

网 络 犯罪 案件 的 立案 与 传统 犯罪 案件 的 立案 在 程序 上 立案 条 件 上 一 致 。 但 与 网 络 犯 
罪案 件 的 管辖 遇 到 的 问题 一 样 ,网 络 犯罪 案件 的 作案 手法 花样 翻新 ,表现 形式 不 断 变 化 ,与 
传统 犯罪 有 较 大 差异 ,传统 犯罪 的 刑事 立案 标准 也 无 法 适应 打击 网 络 犯罪 的 需要 。 网 络 诈 
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骗 、 网 络 传播 淫秽 物品 ` 网 络 赌博 、 网 络 诽谤 、 网 络 寻 峡 滋事 等 网 络 犯罪 案件 以 传统 的 刑事 案 
件 立案 标准 进行 立案 审查 , 均 会 发 生 犯 罪行 为 在 立案 标准 中 无 明确 规定 ,无 法 判断 是 否 可 以 
立案 的 情况 。 

例如 ,诈骗 罪 的 规定 是 “诈骗 公私 财物 ,数额 较 大 的 ”, 因 此 诈骗 数额 是 诈骗 犯罪 案件 重 
要 的 立案 标准 。 但 是 在 网 络 诈骗 犯罪 中 ,经 常 出 现 被 害 人 地 域 分 布 广 泛 、 真 实 身份 无 法 查 
清 , 单 笔 被 骗 数 额 较 小 的 情况 , 按 传统 诈骗 罪 的 立案 标准 来 审查 无 法 立案 。 针 对 此 种 情况 ， 
《最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 诈骗 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ) 第 
五 条 规定 ,“ 利 用 发 送 短信 ,拨打 电话 、 互 联网 等 电信 技术 手段 对 不 特定 多 数 人 实施 诈骗 , 诈 
骗 数 额 难以 查证 ,但 具有 下 列 情形 之 一 的 ,应 当 认 定 为 (刑法 ) 第 二 百 六 十 六 条 规定 的 “其 他 
严重 情节 ”, 以 诈骗 罪 ( 未 遂 ) 定 罪 处 罚 : (一 ) 发 送 诈骗 信息 五 千 条 以 上 的 ; (二 ) 拨 打 诈 骗 电 
话 五 百人 次 以 上 的 ; (三 ) 诈 骗 手 段 恶劣 .危害 严重 的 。” 

再 如 ,赌博 犯罪 的 规定 是 “以 营利 为 目的 ,聚众 赌博 或 者 以 赌博 为 业 的 ”或 “开设 赌场 
的 ”"。 而 网 络 赌博 犯罪 的 常见 表现 形式 是 建立 网 站 开设 网 上 赌场 的 组 织 均 在 境外 ,境内 的 犯 
罪行 为 人 并 不 参与 赌场 建设 只 是 利用 现成 的 赌博 网 站 接受 投注 , 抽 头 牟利 , 按 传统 的 开设 赌 
场 罪 立 案 标准 来 审查 也 无 法 立案 。 针 对 此 种 情况 (关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若 
干 问题 的 意见 》 第 一 条 规定 :“ 利 用 互联 网 、 移 动 通讯 终端 等 传输 赌博 视频 .数据 ,组 织 赌博 
活动 ,具有 下 列 情形 之 一 的 ,属于 刑法 第 三 百 零 三 条 第 二 款 规定 的 “开设 赌场 "行为 : (一 ) 建 
立 赌博 网 站 并 接受 投注 的 ; (二 ) 建 立 赌 博 网 站 并 提供 给 他 人 组 织 赌博 的 ;〈 三 ) 为 赌博 网 站 
担任 代理 并 接受 投注 的 ; (四) 参与 赌博 网 站 利润 分 成 的 。” 

针对 诸如 此 类 的 网 络 犯罪 新 型 表现 形式 ,为 明确 网 络 犯罪 的 定罪 量刑 标准 ,规范 司法 行 
为 ,最 高 法 、 最 高 检 及 公安 部 近年 来 不 断 出 台 专 门 的 网 络 犯罪 司法 解释 及 规定 ,为 各 类 网 络 
犯罪 案件 的 立案 标准 提供 了 具体 的 法 律 依据 。 


5.2.3 小 结 


网 络 犯罪 案件 在 受 案 时 应 注意 网 络 线索 及 电子 数据 证 据 的 收集 ,并 开展 初 查 工 作 。 网 
络 犯罪 案件 在 立案 时 应 注重 及 时 掌握 最 高 法 、 最 高 检 及 公安 部 近年 来 专门 出 台 的 各 类 网 络 
犯罪 定罪 量刑 标准 ,更 好 地 适应 打击 网 络 犯罪 的 需要 。 


5.3 查 明 事实 与 收集 证 据 


案件 侦查 中 的 查 明 事 实 与 收集 证 据 环节 ,是 指 侦查 机 关 对 已 经 立案 的 案件 依法 使 用 各 
种 侦查 措施 开展 侦查 活动 , 查 明 犯 罪 事实 ,收集 ` 调 取 犯 罪 嫌疑 人 有 罪 或 者 无 罪 . 罪 轻 或 者 罪 
重 的 证 据 材 料 的 环节 。 虽 然 网 络 犯罪 侦查 的 法 律 依据 .工作 原则 和 基本 思路 均 与 传统 犯 四 
案件 侦查 无 异 , 但 由 于 网 络 犯罪 侦查 工作 对 象 的 网 络 虚拟 性 、 跨 地 域 性 及 电子 数据 证 据 的 
殊 表 现形 式 ,使 得 其 在 查 明 事 实时 所 使 用 的 侦查 措施 ,收集 证 据 时 所 依据 的 犯罪 事实 证 明 
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则 与 传统 犯罪 侦查 有 较 大 的 差异 。 
5.3.1 查 明 事实 所 使 用 的 侦查 措施 


侦查 措施 是 指 侦 查 机 关 在 案件 侦查 过 程 中 ,为 查 明 事实 收集 证 据 所 依法 采用 的 具体 方 
法 。《 刑 事 诉讼 法 ) 规 定 、 列 举 了 5 种 强制 侦查 措施 和 10 种 侦查 措施 。5 种 强制 侦查 措施 包 
括 拘 传 . 取 保 候 审 、 拘 留 .监视 居住 .逮捕 ; 10 种 侦查 措施 包括 讯问 犯罪 嫌疑 人 、 询 问 证 人 、 
勘 验 检查 ,搜查 、 封 查 扣 押 物 证 书证 鉴定 ,技术 侦查 措施 、 通 缉 、 调 取证 据 、 辨 认 。 其 中 勘 验 
的 侦查 措施 可 独立 出 侦查 实验 ; 封 查 、 扣 押 物 证 、 书 证 的 侦查 措施 可 独立 出 查询 ,冻结 存款 、 
汇款 ; 除了 《刑事 诉讼 法 ) 中 规定 、 列 举 的 以 上 侦查 措施 外 ,司法 实践 中 侦查 机 关 还 经 常 使 用 
访问 调查 、 视 频 图 像 侦 查 、 边 境 控 制 、 摸 底 排 队 、 刑 嫌 调 控 、 阵 地 控制 .网 上 追 逃 .公开 悬赏 等 
诸多 侦查 措施 。 这 些 侦 查 措施 虽然 没有 像 以 上 19 种 措施 那样 在 (刑事 诉讼 法 》 中 明文 列举 ， 
但 只 要 其 侦查 行为 在 法 律 .法规 的 框架 内 ,侦查 机 关 均 可 根据 案件 侦查 需要 灵活 运用 。 

由 于 网 络 犯罪 侦查 需 调查 的 工作 对 象 多 以 虚拟 身份 的 形式 出 现 于 网 上 , 需 查 明 的 犯罪 
事实 均 发 生 在 网 上 .而 需 收 集 的 犯罪 嫌疑 人 有 罪 或 者 无 罪 、 罪 轻 或 者 罪 重 的 证 据 材 料 多 以 电 
子 数 据 的 形式 存在 ,因此 网 络 犯罪 侦查 措施 的 使 用 有 其 符合 网 络 犯罪 规律 的 相应 特点 ,主要 
表现 在 如 下 方面 。 

1. 讯问 嫌疑 人 和 询问 证 人 

讯问 嫌疑 人 是 指 侦查 机 关 为 了 查 明 犯罪 事实 ,收集 证 据 , 依 法 对 犯罪 嫌疑 人 进行 正面 审 
讯 的 侦查 措施 。 询 问 证 人 是 指 侦查 机 关 通 过 与 证 人 或 被 害 人 的 谈话 和 问 话 来 了 解 案件 情况 
的 侦查 措施 。 讯 问 嫌疑 人 和 询问 证 人 本 是 侦查 机 关 经 常 使 用 的 常规 侦查 措施 ,但 在 网 络 犯 
罪 侦查 中 有 时 却 会 遇 到 使 用 上 的 困难 。 网 络 犯罪 往往 是 团伙 性 犯罪 ,犯罪 集团 借助 互联 网 
强大 的 组 织 团队 特性 会 组 织 起 传统 方式 根本 无 法 组 织 运转 的 庞大 团队 。 比 如 大 部 分 的 网 络 
传销 团伙 的 人 数 众多 , 数 以 万 计 且 分 散 至 各 地 ,规模 远 远 超过 普通 传销 团伙 的 人 数 。 如 按照 
传统 工作 方法 到 各 地 去 调查 案件 ,讯问 嫌疑 人 ,工作 量 巨 大 ,难以 操作 。 从 上 例 同时 可 见 网 
络 犯罪 也 是 跨 地 域 犯罪 ,网 络 犯罪 行为 人 经 常 可 以 借助 互联 网 对 不 同 地 域 的 受害 人 实施 侵 
害 。 比 如 在 网 络 盗窃 案件 中 一 个 犯罪 行为 人 往往 可 以 通过 网 络 盗 取 数 千 个 银行 账户 内 资 
金 ,被 害 人 遍布 全 国 各 地 。 当 侦查 机 关 到 各 地 找 被 害 人 做 询问 笔录 取证 的 时 候 , 也 会 遇 到 前 
面 提 到 的 工作 量 巨大 的 难题 。 

针对 此 类 团伙 性 、 跨 地 域 性 网 络 犯罪 的 特点 ,最 高 法 、 最 高 检 、 公 安 部 对 在 此 类 案件 中 讯 
问 嫌 疑 人 和 询问 证 人 的 侦查 措施 做 出 了 适应 跨 地 域 情况 的 规定 。《 网 络 犯罪 刑事 诉讼 程序 
意见 ) 第 十 二 条 规定 :“ 询 ( 讯 ) 问 异地 证 人 、 被 害 人 以 及 与 案件 有 关联 的 犯罪 嫌疑 人 的 ,可 以 
由 办 案 地 公安 机 关 通 过 远程 网 络 视频 等 方式 进行 询 ( 讯 ) 问 并 制作 笔录 。 远 程 询 ( 讯 ) 问 的 ， 
应 当 由 协作 地 公安 机 关 事 先 核实 被 询 ( 讯 ) 问 人 的 身份 。 办 案 地 公安 机 关 应 当 将 询 ( 讯 ) 问 笔 
录 传 输 至 协作 地 公安 机 关 。 询 ( 讯 ) 问 笔录 经 被 询 ( 讯 ) 问 人 确认 并 逐 页 签名 、 探 指 印 后 ,由 协 
作 地 公安 机 关 协 作 人 员 签 名 或 者 盖 章 ,并 将 原件 提供 给 办 案 地 公安 机 关 。 询 ( 讯 ?) 问 人 员 收 
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到 笔录 后 ,应 当 在 首页 右上 方 写 明 “于 某 年 某 月 某 日 收 到 .并 签名 或 者 盖 章 。 远 程 询 ( 讯 ) 问 
的 ,应 当 对 询 ( 讯 ) 问 过 程 进 行 录 音 录像 ,并 随 案 移送 。 异 地 证 人 、 被 害 人 以 及 与 案件 有 关联 
的 犯罪 嫌疑 人 亲笔 书写 证 词 . 供 词 的 ,参照 本 条 第 二 款 规定 执行 ”该 规定 的 实施 大 大 节省 了 
侦查 机 关 对 于 此 类 案件 侦查 的 时 间 成 本 和 侦查 成 本 ,提高 了 侦查 工作 效率 。 

2. 调 取证 据 

《刑事 诉讼 法 ) 第 五 十 二 条 规定 :“ 人 民法 院 、 人 民 检 察 院 和 公安 机 关 有 权 向 有 关 单 位 和 
个 人 收集 、 调 取证 据 。 有 关 单 位 和 个 人 应 当 如 实 提供 证 据 .” 根 据 上 述 规 定 ,侦查 机 关 在 案件 
侦查 过 程 中 对 有 关 单 位 和 个 人 掌握 的 证 据 有 权 作 为 犯罪 证 据 进行 调 取 , 调 取 证 据 成 为 侦查 
机 关 查 明 犯 罪 事实 ,收集 证 据 的 一 种 重要 侦查 措施 。 侦 查 机 关 调 取证 据 的 类 型 主要 包括 物 
证 ,书证 ,视听 资料 ,电子 数据 检验 报告 .鉴定 意见 、 勘 验 笔录 、 检 查 笔录 等 证 据 材料 。 

在 网 络 犯罪 侦查 中 因 犯 罪 嫌 疑 人 均 为 跨 地 域 作案 ,所 以 嫌疑 人 所 对 应 的 物证 、 书 证 等 证 
据 也 需 跨 地 域 调 取 。 除 传统 的 物证 ,书证 外 ,网 络 犯罪 侦查 最 常 遇 到 的 是 调 取 电子 数据 证 据 
的 问题 。 网 络 犯罪 相关 银行 账户 .网 络 数据 往往 分 布 在 不 同 地 方 ,特别 是 在 犯罪 违法 所 得 的 
认定 方面 ,掌握 电子 数据 证 据 的 单位 一 般 是 为 用 户 提供 互联 网 接 人 服务 .互联 网 数据 中 心服 
务 、 互 联网 信息 服务 的 单位 。 而 我 国 互联 网 产业 区 域 发 展 并 不 均衡 ,这 些 掌 握 电子 数据 证 据 
的 单位 一 般 集 中 在 北京 .上 海 .深圳 .杭州 等 少数 地 区 ,往往 与 案件 发 生地 不 在 同一 地 域 。 同 
时 网 络 犯罪 通过 借助 计算 机 网 络 对 不 特定 人 实施 侵害 或 者 组 织 不 特定 人 实施 犯罪 ,涉案 人 
员 和 被 害 人 往往 位 于 不 同 区 域 。 以 上 情况 使 网 络 犯罪 侦查 的 调 取证 据 措 施 也 遇 到 了 跨 地 域 
操作 困难 。 例 如 ,2006 年 某 地 公安 机 关 侦 办 的 一 起 网 银 盗 窃 案 ,涉案 银行 账号 6 万 余 个 , 涉 
及 全 国 所 有 省 市 。 根 据 传统 取证 程序 ,通常 需要 办 案 地 派 两 名 民警 携带 法 律 文书 到 证 据 所 
在 地 开展 调 取 工 作 ,工作 量 巨 大 ,难以 有 效 调 取 相关 证 据 。 
《流动 性 团伙 性 跨 区 域 性 犯罪 意见 》 第 五 条 规定 :“ 办 案 地 公安 机 关 跨 区 域 查询 、 调 取 银 
行 账户 、 网 站 等 信息 ,或 者 跨 区 域 查询 .冻结 涉案 银行 存款 .汇款 ,可 以 通过 公安 机 关 信 息 化 
应 用 系统 传输 加 盖 电 子 签 章 的 办 案 协 作 函 和 相关 法 律 文书 及 凭证 ,或 者 将 办 案 协 作 函 和 相 
关 法 律 文书 及 凭证 电 传 至 协作 地 县 级 以 上 公安 机 关 。 办 理 跨 区 域 查询 、 调 取 电 话 信息 的 ,由 
地 市 以 上 公安 机 关 办 理 。 协 作 地 公安 机 关 接收 后 ,经 审查 确认 ,在 传 来 法 律 文书 上 加 盖 本 地 
公安 机 关 印 章 , 到 银行 .电信 等 部 门 查询 . 调 取 相关 证 据 或 者 查询 、 冻 结 银行 存款 .汇款 , 银 
行 .电信 等 部 门 应 当 予 以 配合 。” 

借鉴 上 述 规定 《网络 犯罪 刑事 诉讼 程序 意见 ;第 十 一 条 、 第 十 二 条 对 网 络 犯 罪案 件 的 跨 
地 域 取证 作 了 进一步 明确 : 

《网 络 犯 罪刑 事 诉讼 程序 意见 ) 第 十 一 条 规定 :“ 公 安 机 关 跨 地 域 调查 取证 的 ,可 以 将 办 
案 协 作 函 和 相关 法 律 文书 及 凭证 电 传 或 者 通过 公安 机 关 信 息 化 系统 传输 至 协作 地 公安 机 
关 。 协 作 地 公安 机 关 经 审查 确认 .在 传 来 的 法 律 文书 上 加 盖 本 地 公安 机 关 印 章 后 ,可 以 代为 
调查 取证 。” 

《网 络 犯罪 刑事 诉讼 程序 意见 ) 第 十 二 条 规定 :“ 询 ( 讯 ) 问 异地 证 人 、 被 害 人 以 及 与 案件 
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有 关联 的 犯罪 嫌疑 人 的 ,可 以 由 办 案 地 公安 机 关 通 过 远程 网 络 视频 等 方式 进行 询 (讯问 并 
制作 笔录 。 远 程 询 ( 讯 ) 问 的 ,应 当 由 协作 地 公安 机 关 事先 核实 被 询 ( 讯 ) 问 人 的 身份 。 办 案 
地 公安 机 关 应 当 将 询 ( 讯 ) 问 笔录 传输 至 协作 地 公安 机 关 。 询 ( 讯 ) 问 笔录 经 被 询 ( 讯 ) 问 人 确 
认 并 逐 页 签名 、 捧 指 印 后 ,由 协作 地 公安 机 关 协 作 人 员 签 名 或 者 盖 章 ,并 将 原件 提供 给 办 案 
地 公安 机 关 。 询 ( 讯 ) 间 人 员 收 到 笔录 后 ,应 当 在 首页 右上 方 写 明 “ 于 某 年 某 月 某 日 收 到 ” ,并 
签名 或 者 盖 章 。 远 程 询 ( 讯 ) 问 的 ,应 当 对 询 ( 讯 ) 问 过 程 进 行 录音 录像 ,并 随 案 移 送 。 异 地 证 
人 ,被 害 人 以 及 与 案件 有 关联 的 犯罪 嫌疑 人 亲笔 书写 证 词 、 供 词 的 ,参照 本 条 第 二 款 规定 
执行 。” 

在 司法 实践 中 许多 妨害 社会 管理 秩序 的 网 络 犯罪 及 破坏 社会 主义 市 场 经 济 的 网 络 犯 罪 
往往 是 由 行政 执法 机 关 掌 握 第 一 手 材料 并 先行 查处 ,因此 在 网 络 犯 罪 侦 查 过 程 中 使 用 调 取 
证 据 的 侦查 措施 时 还 应 该 注意 调 取 行政 执法 机 关 的 执法 证 据 。 

首先 ,行政 执法 机 关 收 集 的 证 据 可 直接 作为 犯罪 证 据 。《 刑 事 诉讼 法 ) 第 五 十 二 条 规定 : 
“行政 机 关 在 行政 执法 和 查办 案件 过 程 中 收集 的 物证 ,书证 ,视听 资料 ,电子 数据 等 证 据 材 
料 , 在 刑事 诉讼 中 可 以 作为 证 据 使 用 .” 通 过 规定 对 行政 执法 机 关 在 执法 过 程 中 收集 到 的 证 
据 在 刑事 诉讼 中 予以 采信 ,避免 了 侦查 机 关 对 该 证 据 的 重复 性 侦查 ,大 大 节省 了 侦查 资源 和 
时 间 成 本 。 

其 次 ,行政 执法 机 关 的 行政 处 罚 是 一 些 网 络 犯罪 的 立案 标准 。 比 如 在 侦查 网 络 销售 伪 

基站 案件 中 ,确认 案件 是 否 符合 刑事 案件 立案 标准 可 以 根据 (关于 依法 办 理 非法 生产 销售 使 
用 “ 伪 基 站 ”设备 案件 的 意见 ) 第 一 条 的 规定 :“ 非 法 生产 、 销 售 * 伪 基站 设备 ,具有 以 下 情形 
之 一 的 ,依照 4 刑法 ?第 二 百 二 十 五 条 的 规定 ,以 非法 经 营 罪 追究 刑事 责任 …… 虽 未 达到 上 述 
数额 标准 ,但 两 年 内 曾 因 非法 生产 、 销 售 “ 伪 基站 ”设备 受过 两 次 以 上 行政 处 罚 , 又 非法 生产 、 
销售 * 伪 基站 设备 的 。 
再 次 ,行政 执法 机 关 的 行政 处 罚 是 一 些 网 络 犯罪 主观 故意 的 证 明 条 件 。 比 如 在 侦查 网 
络 销售 假冒 注册 商标 商品 案 时 ,收集 犯罪 嫌疑 人 主观 故意 的 证 据 时 可 以 根据 (最 高 人 民法 
院 、 最 高 人 民 检察 院 关 于 办 理 侵犯 知识 产权 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ) 第 九条 
规定 :“ 具 有 下 列 情形 之 一 的 ,应 当 认 定 为 属于 刑法 第 二 百 一 十 四 条 规定 的 “明知 ”…… 因 
销售 假冒 注册 商标 的 商品 受到 过 行政 处 罚 或 者 承担 过 民事 责任 、 又 销售 同一 种 假冒 注册 商 
标的 商品 的 。” 

最 后 ,行政 执法 机 关 的 行政 处 罚 是 一 些 网 络 犯罪 的 量刑 条 件 。 比 如 在 侦查 网 络 传销 案 
件 中 ,对 组 织 传销 活动 情节 严重 的 认定 条 件 可 以 根据 (关于 办 理 组 织 领导 传销 活动 刑事 案件 
适用 法 律 若 干 问题 的 意见 》 第 四 条 的 规定 :“ 对 符合 本 意见 第 一 条 第 一 款 规 定 的 传销 组 织 的 
组 织 者 、 领 导 者 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 二 十 四 条 之 一 规定 的 “情节 严 
置 Ye 曾 因 组 织 、 领 导 传销 活动 受过 刑事 处 罚 , 或 者 一 年 以 内 因 组 织 、 领 导 传销 活动 受过 行 
政 处 罚 , 又 直接 或 者 间接 发 展 参与 传销 活动 人 员 累 计 达 六 十 人 以 上 的 。” 
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3. 查询 ,冻结 存款 、 汇 款 

查询 ,冻结 存款 、 汇 款 是 指 侦查 机 关 根 据 侦查 犯罪 的 需要 ,依照 规定 向 有 关 单 位 查询 犯 
罪 嫌疑 人 的 存款 、 汇 款 、 债 券 股 票 . 基 金 份额 等 财产 ,通知 有 关 单位 对 嫌疑 人 的 存款 、 汇 款 、 
债券 .股票 .基金 份额 等 财产 予以 冻结 的 侦查 措施 。《 银 行业 金融 机 构 协 助人 民 检 察 院 公 安 
机 关 国 家 安全 机 关 查 询 冻结 工作 规定 ) 第 十 四 条 规定 :“ 银 行业 金融 机 构 协 助人 民 检 察 院 、 
公安 机 关 、 国 家 安全 机 关 查 询 的 信息 仅 限于 涉案 财产 信息 ,包括 : 被 查询 单位 或 者 个 人 开户 
销 户 信息 ,存款 余额 ,交易 日 期 .交易 金额 ,交易 方式 ,交易 对 手 账 户 及 身份 等 信息 ,电子 银行 
信息 ,网 银 登 录 日 志 等 信息 ,POS 机 商户 、 自 动机 有 具 相关 信息 等 .” 非 银行 支付 机 构 按 照 刑 诉 
法 规定 也 应 配合 侦查 机 关 查 询 相关 财产 信息 及 冻结 财产 。 

通过 该 种 侦查 措施 ,侦查 机 关 可 以 获得 犯罪 嫌疑 人 或 者 与 其 涉嫌 的 犯罪 有 牵连 的 人 的 
资金 往来 情况 及 存 取 转 账 操作 地 点 ,从 中 分 析 研 判 和 发 现 侦查 线索 ,进一步 查 明 犯罪 事实 ， 
为 证 实 犯 罪 提供 证 据 。 同 时 该 措施 还 可 以 防止 赃款 转移 ,减少 国家 ,单位 和 个 人 在 犯罪 活动 
中 所 受 的 财产 损失 ,最 大 限度 地 保护 国家 、 单 位 和 个 人 的 利益 。 查 询 、 冻 结存 款 、 汇 款 是 网 络 
犯罪 侦查 中 常用 的 一 种 侦查 措施 ,尤其 在 网 络 经 济 犯 罪案 件 、 网 络 侵 财 犯罪 案件 ,网 络 赌博 
案件 .网 络 传播 淫秽 物品 牟利 案件 的 侦查 中 被 频繁 使 用 。 在 网 络 犯罪 的 框架 下 ,该 种 侦查 措 
施 的 使 用 也 会 遇 到 实际 操作 困难 : 

首先 仍然 是 网 络 犯 罪 的 跨 地 域 特点 使 查询 、 冻 结 措施 操作 成 本 巨大 。 侦 查 机 关 要 求 有 
关 单位 协助 查询 ,冻结 财产 时 传统 的 做 法 是 由 两 名 办 案 人 员 持 有 效 工 作证 件 和 加 盖 县 级 以 
上 人 民 检 察 院 公 安 机 关 或 国家 安全 机 关公 章 的 协助 查询 财产 或 协助 冻结 财产 法 律 文书 ,到 
银行 业 金 融 机 构 或 非 银行 支付 机 构 等 有 关 单位 现场 办 理 。 司 法 实践 中 由 于 网 络 犯罪 案件 的 
犯罪 嫌疑 人 或 被 害 人 往往 位 于 不 同 地 域 ,其 所 对 应 的 存款 、 债 券 、 股 票 等 财产 的 账户 也 相应 
地 由 不 同 地 域 的 单位 开户 。 比 如 在 网 络 盗窃, 网 络 诈骗 案件 中 犯罪 嫌疑 人 几乎 均 为 异地 作 
案 ,被 害 人 也 遍布 各 地 ,涉案 的 银行 卡 开 户 地 一 般 不 在 办 案 单位 所 在 地 。 另 外 由 于 网 络 黑 市 
的 存在 ,一些 网 络 犯罪 案件 的 犯罪 嫌疑 人 为 逃避 法 律 打击 往往 从 网 上 购买 不 实名 的 异地 银 
行 卡 来 收取 非法 获 利 资金 ,为 侦查 机 关 查 询 、 冻 结 财产 设置 障碍 。 同 时 网 络 犯罪 案件 中 犯罪 
嫌疑 人 大 量 使 用 非 银行 支付 机 构 的 网 上 支付 账号 来 收取 转移 资金 ,而 我 国 非 银行 支付 机 构 
往往 集中 在 几 个 城市 ,大 部 分 地 区 的 侦查 机 关 查 询 ,冻结 非 银行 支付 机 构 账 户 内 财产 均 需 路 
地 域 执行 。 

为 解决 以 上 实际 问题 《关于 办 理 流动 性 团伙 性 跨 区 域 性 犯罪 案件 有 关 问 题 的 意见 ) 第 
五 条 规定 :“ 办 案 地 公安 机 关 跨 区 域 查询 、 调 取 银 行 账户 、 网 站 等 信息 ,或 者 跨 区 域 查询 、 冻 
结 涉案 银行 存款 汇款, 可 以 通过 公安 机 关 信 息 化 应 用 系统 传输 加 盖 电 子 印章 的 办 案 协作 函 
和 相关 法 律 文书 及 凭证 ,或 者 将 办 案 协作 函 和 相关 法 律 文书 及 凭证 电 传 至 协作 地 县 级 以 上 
公安 机 关 。” 

其 次 ,查询 冻结 存款 ,汇款 侦查 措施 的 反馈 时 效 无 法 满足 网 络 犯 罪 侦 查 的 实战 需要 。 
银行 业 金 融 机 构 对 于 侦查 机 关 的 查询 财产 需求 如 无 法 当场 办 理 的 ,对 于 查询 单位 或 者 个 人 
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开户 销 户 余额 信息 的 ,银监会 规定 原则 上 应 当 在 三 个 工作 日 以 内 反馈 ; 对 于 查询 单位 或 者 
个 人 交易 日 期 交易 方式 .交易 对 手 账户 及 身份 等 信息 .电子 银行 信息 、 网 银 登录 日 志 等 信 
息 、POS 机 商户 .自动 机 具 相关 信息 的 ,银监会 规定 原则 上 应 当 在 十 个 工作 日 以 内 反馈 。 非 
银行 支付 机 构 的 查询 ,冻结 反馈 时 效 虽 无 类 似 明确 规定 ,在 实际 操作 中 基本 与 银行 业 金 融 机 
构 反 馈 时效 处 于 同一 量 级 。 而 在 网 络 诈骗 案件 中 犯罪 嫌疑 人 转移 赃款 的 速度 一 般 是 以 分 钟 
为 量 级 计算 的 。 几 十 万 甚至 成 百 上 千 万 的 被 骗 资金 在 很 短 的 时 间 内 通过 网 络 转 款 . 电 话 转 
款 等 方式 被 化 整 为 零 转 到 不 同 的 下 级 账户 内 ,为 逃避 侦查 机 关 的 查询 和 冻结 措施 往往 又 迅 
速 继续 向 下 级 账户 转账 几 次 后 通过 各 种 方式 变现 取出 。 为 应 对 此 类 案件 ,《 银 行业 金融 机 构 
协助 人 民 检 察 院 公安 机 关 国 家 安全 机 关 查 询 冻结 工作 规定 ) 第 二 十 六 条 规定 :“ 人 民 检 察 
院 、 公 安 机 关 、 国 家 安全 机 关 可 以 与 银行 业 金 融 机 构建 立 快速 查询 ,冻结 工作 机 制 , 办 理 重 
大 、 紧 急 案件 查询 ,冻结 工作 。 具 体 办 法 由 银监会 会 同 最 高 人 民 检 察 院 、 公 安 部 、 国 家 安全 部 
另行 制定 。 人 民 检 察 院 、 公 安 机 关 、 国 家 安全 机 关 可 以 与 银行 业 金 融 机 构建 立 电子 化 专线 信 
息 传输 机 制 , 查 询 、 冻 结 ( 含 续 冻 、 解 除 冻结 ) 需 求 发 送 和 结果 反馈 原则 上 依托 银监会 及 其 派 
出 机 构 与 银行 业 金融 机 构 的 金融 专 网 完成 。 但 截至 当前 ,相关 部 门 已 经 建立 的 快速 查询 、` 冻 
结 平台 的 反馈 时 效 仅 达到 *T 十 1 日 的 程度 , 仍 无 法 满足 网 络 诈骗 案件 侦查 的 实战 需求 ,无 
法 实现 刑 诉 法 设立 查询 ,冻结 侦查 措施 时 所 想 达 到 的 防止 赃款 转移 ,减少 被 害 人 财产 损失 的 
目的 。 针 对 网 络 诈骗 类 犯罪 的 高 发 势头 ,一 些 地 区 的 公安 机 关 对 查询 冻结 侦查 措施 的 使 用 
进一步 探索 ,会 同 当 地 的 银 监 部 门 、 银 行业 金融 机 构 、 非 银行 支付 机 构 等 有 关 单 位 成 立 反 信 
息 诈骗 中 心 ,探索 解决 查询 \ 冻 结 侦查 措施 的 反馈 时 效 问题 。 


2015 年 7 月 24 日 上 午 9 时 深圳 市 公安 局 反 信 息 诈骗 中 心 接 到 报警 电 

话 , 被 害 人 陈 某 公 司 的 转账 账户 被 犯罪 嫌疑 人 通过 网 络 入 侵 纂 改 成 嫌疑 人 的 
银行 账户 ,公司 1600 万 元 货款 被 转 入 嫌疑 人 银行 账户 。 深 圳 市 公安 局 反 信 息 

一 | 诈骗 中 心 立即 启动 快速 联动 机 制 对 被 骗 资金 快速 拦截 ,对 诈骗 账户 及 子 账 户 
进行 全 面 查询 。 经 查 , 发 现 剩余 款项 1456 万 元 经 转 款 后 分 别 在 中 国 工商 银行 


和 中 国 建设 银行 的 账户 内 。 在 银行 的 配合 下 , 反 信 息 诈 骗 中 心 快 速 反应 ,成 
功 地 拦截 了 被 骗 资 金 ,整个 过 程 只 用 了 15 分 钟 。 


案例 


4. 勘 验 

勘 验 是 指 网 络 犯罪 侦查 机 关 为 了 查 明 犯罪 事实 ,收集 证 据 ,对 于 与 网 络 犯 罪 有 关 的 场 
所 、 物 品 ` 人 身 进 行 勘 验 或 者 检查 的 侦查 措施 。 任 何 犯罪 活动 的 发 生 都 是 在 时 间 和 空间 的 框 
架 下 与 一 定 的 场所 、 物 品 和 人 发 生 联系 ,引起 场所 ,物品 和 人 产生 变化 并 留 下 痕迹 。 勘 验 就 
是 侦查 人 员 运 用 科学 技术 这 些 变化 和 痕迹 进行 提取 、 固 定 、 收 集 ,为 证 实 犯罪 提供 证 据 , 并 分 
析 研 判 从 中 发 现 侦查 线索 。 在 必要 的 时 候 , 侦 查 机 关 可 以 指派 或 者 聘请 具有 专门 知识 的 人 ， 
在 侦查 人 员 的 主持 下 进行 勘 验 。 网 络 犯罪 侦查 的 勘 验 与 传统 犯罪 侦查 的 勘 验 在 基本 原则 、 
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指导 思想 上 一 致 ,但 由 于 网 络 犯罪 的 证 据 材 料 和 案件 线索 多 以 电子 数据 的 形式 存在 于 现场 
电子 设备 或 远程 网 络 空间 中 ,而 电子 数据 证 据 具 有 许多 不 同 于 传统 证 据 的 属性 特点 ,因此 电 
子 数 据 证 据 勘查 与 传统 勘查 在 工作 流程 .工作 要 求 .工作 标准 等 方面 有 较 大 不 同 。 

5. 摸底 排队 

摸底 排队 是 指 侦查 机 关 通 过 分 析 案 情 推 断 出 犯罪 嫌疑 人 的 特征 和 作案 条 件 , 依 靠 发 动 
有 关 单 位 和 人 民 和 群众 提供 线索 ,在 一 定 范围 内 汇总 符合 作案 条 件 和 有 嫌疑 人 特征 的 人 逐个 
调查 了 解 ,从 中 发 现 犯 罪 嫌疑 人 或 犯罪 线索 的 侦查 措施 。 摸 底 排 队 是 侦查 机 关 专 门 工作 同 
群众 路 线 结合 的 具体 表现 ,是 侦查 人 员 获 得 犯罪 线索 和 侦破 案件 的 有 效 措施 ,是 刑事 案件 侦 
查 的 一 项 常规 性 重要 侦查 措施 。 

传统 的 摸底 排队 措施 主要 在 网 下 开展 调查 ,通过 全 面 发 动 群众 提供 线索 ,进而 开展 调查 
工作 确定 侦查 对 象 。 而 网 络 犯罪 多 为 跨 地 域 性 团伙 性 犯罪 ,网 络 犯罪 侦查 的 工作 对 象 又 多 
以 虚拟 身份 的 形式 出 现 于 网 上 ,使 用 传统 的 摸排 范围 选择 方法 往往 难以 确定 作案 人 的 居住 、 
活动 范围 ,使 该 项 侦查 措施 失去 可 操作 性 和 针对 性 。 针 对 此 种 情况 ,侦查 机 关 在 网 络 犯罪 的 
摸底 排队 侦查 中 对 摸排 范围 的 选择 在 传统 的 空间 范围 和 社会 范围 的 基础 上 ,增加 了 网 络 范 
围 ; 摸排 对 象 增加 了 网 络 虚 拟 身 份 及 电子 数据 ; 摸排 条 件 针对 网 络 犯罪 特点 进行 相应 设 
定 。 摸 排 范围 中 的 网 络 范围 是 指 犯 罪 嫌疑 人 可 能 使 用 的 网 络 服务 的 范围 及 因 其 网 上 行为 所 
留存 的 电子 数据 的 范围 。 如 侦查 人 员 通 过 电子 数据 勘查 获取 了 被 攻击 的 网 络 服务 器 的 日 
志 , 则 该 日 志 数据 中 的 可 疑 记 录 集 合 可 以 作为 摸排 网 络 攻击 者 的 网 络 范围 。 侦 查 人 员 选 好 
摸排 范围 后 ,在 网 络 范围 内 对 涉案 的 网 络 虚拟 身份 及 电子 数据 进行 摸排 ,相应 的 摸排 条 件 主 
要 如 下 。 

1) 具备 作案 时 间 条 件 

任何 案件 都 必须 有 作案 时 间 ,排查 对 象 是 否 具备 作案 时 间 条 件 是 摸底 排队 的 重要 条 件 
依据 。 对 于 一 些 摸排 范围 为 网 络 范围 的 网 络 犯罪 案件 ,由 于 其 摸排 的 对 象 为 网 络 虚拟 身份 
与 电子 数据 ,摸排 对 象 本 身 即 带 有 时 间 属 性 可 供 侦查 人 员 分 析 、 核 查 。 电 子 数据 文件 本 身 都 
具有 建立 时 间 、 修 改 时 间 访问 时 间 属 性 ,许多 电子 数据 文件 内 部 还 戏 有 时 间 戳 ,都 可 以 作为 
时 间 摸 排 条 件 。 

2) 具备 作案 空间 条 件 

任何 案件 都 必须 有 作案 地 点 ,即使 网 络 犯罪 的 犯罪 行为 主要 在 网 络 上 实施 ,其 行为 实施 
人 也 是 在 网 下 的 地 点 操作 。《 互 联网 安全 保护 技术 措施 规定 》 第 八条 规定 ,提供 互联 网 接 人 
服务 的 单位 应 当 * 记 录 并 留存 用 户 注 册 信 息 ”。 侦 查 机 关 根 据 法 律 规定 通过 用 户 注册 信息 可 
以 获得 摸排 对 象 的 个 人 信息 。 网 络 犯罪 侦查 中 可 以 将 嫌疑 人 的 时 间 和 空间 条 件 作为 摸排 条 
件 ,在 网 络 范围 内 对 摸排 对 象 逐个 调查 ,查找 具备 作案 空间 条 件 的 犯罪 嫌疑 人 。 

3) 具备 作案 工具 条 件 

犯罪 行为 人 在 实施 犯罪 时 往往 借助 于 一 定 的 工具 ,因此 是 否 具有 或 有 条 件 获取 作案 工 
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的 外 挂 程序 、 非 法 控制 计算 机 信息 系统 的 程序 、 计 算 机 病毒 ,钓鱼 网 站 代码 、 洗 号 工具 、 打 码 
工具 ,侦查 人 员 可 以 根据 此 条 件 对 摸排 对 象 进行 摸排 。 
4) 具备 个 体 自然 特征 条 件 
某 些 嫌疑 人 由 于 生活 地 区 、 职 业 、 学 习 经 历 、 地 方 民俗 .民族 、 宗 教 等 影响 ,在 其 思想 、 信 
仰 、 语 言 习惯 (网 上 发 布 文字 信息 ,有 时 会 包括 方言 )、 饮 食 习惯 兴趣 爱好 等 方面 会 有 所 体 
现 , 而 这 些 现 实 中 的 个 体 自然 特征 又 会 在 网 络 中 以 不 同 的 方式 体现 出 来 ,成 为 排查 特定 人 员 
的 条 件 依 据 . 了 
5) 具备 表现 反常 条 件 
一 个 完整 的 犯罪 行为 过 程 一 般 包括 犯罪 预备 ,犯罪 实施 、 罪 后 反常 这 三 个 依次 进行 的 阶 
段 。 在 犯罪 预备 阶段 犯罪 行为 人 要 对 作案 目标 进行 踩点 ,购置 作案 工具 .计划 逃跑 路 线 ; 在 
后 反常 阶段 犯罪 行为 人 会 有 处 置 赃物 、 毁 灭 作案 证 据 . 打 探 侦查 工作 、 逃 跑 隐 匿 的 行为 。 
这 些 反常 行为 会 在 一 定 场合 .一 定 程度 上 有 所 暴露 ,可 以 作为 摸排 的 条 件 依据 。 网 络 犯罪 侦 
查 也 是 根据 摸排 的 网 络 虚拟 身份 及 电子 数据 的 反常 情形 作为 摸排 条 件 。 例 如 ,在 破坏 计算 
机 信息 系统 的 案件 中 ,犯罪 嫌疑 人 在 犯罪 预备 的 阶段 会 对 计算 机 信息 系统 进行 反复 嗅 探 扫 
描 、 尝 试 登录 ,侦查 人 员 可 以 在 摸排 范围 内 对 有 以 上 反常 行为 的 日 志 记录 进行 逐一 排查 , 找 
出 嫌疑 人 留 下 的 痕迹 进而 确定 犯罪 嫌疑 人 。 再 如 一 些 案 件 中 犯罪 嫌疑 人 在 案 发 后 逃跑 隐 
匿 ,其 对 应 的 网 络 虚拟 身份 的 行为 也 相应 发 生变 化 ,构成 罪 后 反常 的 情形 ,侦查 人 员 可 根据 
其 具备 表现 反常 条 件 对 该 人 深入 核查 。 
网 络 犯罪 侦查 的 摸底 排队 措施 将 传统 的 工作 对 象 数字 化 ,不 需要 像 传统 摸排 一 样 投入 
大 量 警力 长 时 间作 战 。 利 用 计算 机 对 工作 对 象 的 数据 进行 统计 处 理 , 短 时 间 内 即 可 根据 设 
定 的 排查 条 件 对 数 万 条 的 海量 数据 开展 排查 工作 ,得 到 符合 排查 条 件 的 嫌疑 对 象 数据 。 该 
项 侦查 措施 改变 了 传统 侦查 的 人 海战 术 , 缓 解 了 侦查 资源 紧张 的 问题 ,在 网 络 犯罪 侦查 中 往 
往 对 打破 案件 侦查 僵局 发 挥 了 重要 作用 。 


5.3.2 收集 证 据 所 依据 的 事实 证 明 规 则 


在 网 络 犯罪 侦查 的 查 明 事实 与 收集 证 据 环 节 ,侦查 机 关 应 依法 使 用 各 种 侦查 措施 查 明 
犯罪 事实 ,收集 、 调 取 犯 罪 嫌疑 人 有 罪 或 者 无 罪 、 罪 轻 或 者 罪 重 的 证 据 。 我 国 刑 诉 法 规定 犯 
事实 的 证 明 标准 是 “证 据 确实 、 充 分 ,应 当 符合 以 下 条 件 : (一 ) 定 罪 量 刑 的 事实 都 有 证 据 
证 明 ， 二 ) 据 以 定案 的 证 据 均 经 法 定 程序 查证 属实 ; 三) 综合 全 案 证 据 , 对 所 认定 事实 已 
排除 合理 怀疑 .网 络 犯罪 与 传统 犯罪 的 证 明 标准 相同 ,但 由 于 网 络 犯罪 往往 涉案 人 员 众 多 
且 分 布 各 地 ,涉案 金额 巨大 且 往 来 频繁 ,涉案 电子 数据 海量 且 极 易 灭 失 , 以 上 客观 条 件 限制 
使 得 侦查 机 关 无 法 逐一 收集 相关 证 据 。 在 犯罪 事实 证 明 标准 一 致 的 前 提 下 ,网 络 犯罪 事实 
的 证 明 规 则 与 传统 犯罪 的 证 明 规则 有 较 大 区 别 。 


四” 孙 晓 冬 .网络 犯罪 侦查 . 北京 : 清华 大 学 出 版 社 ,2014。 
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网 络 犯罪 中 ,以 网 络 诈骗 等 侵 财 性 的 涉 众 案件 为 典型 ,其 每 年 发 案 数量 达 数 十 万 起 , 占 
网 络 犯罪 发 案 数量 的 80% 以 上 ,个 别 经 济 发 达 省 份 可 以 到 达 95% 以 上 ,但 打击 率 未 超过 
3% ,处理 率 不 到 1. 8%, 人 民 群 众 反 映 强 烈 。 同 时 这 类 案件 侦查 成 本 高 昂 ,牵扯 大 量 侦查 
资源 。 

在 一 些 网 络 诈骗 案件 中 ,嫌疑 人 利用 网 络 电话 、 钓 鱼网 站 等 方法 对 不 特定 多 数 的 境外 人 
员 实 施 诈骗 。 某 网 络 诈骗 团伙 在 2013 年 3 月 4 日 至 5 月 23 日 间 , 预 谋 诈 骗 11664 次 ,预谋 
诈骗 金额 2. 4362 亿 元 ,成 功 诈骗 金额 高 达 251 万 余 元 。 公 安 机 关 先 后 组 织 两 次 抓 捕 行动 ， 
出 动 警力 80 余人 ,分 赴 全 国 16 个 省 市 .26 个 地 市 抓 捕 ,抓获 各 环节 主要 犯罪 嫌疑 人 28 人 ， 
花费 办 案 经 费 上 百 万 元 。 该 案 报案 的 被 害 人 被 骗 仅 490 元 , 尚 不 够 追诉 标准 。 如 果 按 照 传 
统 诈骗 犯罪 的 证 明 规 则 来 收集 证 据 , 侦 查 机 关 会 因 无 法 查证 诈骗 数额 导致 无 法 证 明 诈骗 犯 
罪 事 实 的 情况 发 生 。 针 对 此 种 情况 人 关于 办 理 诈 骗 刑事 案件 具体 应 用 法 律 若干 问题 的 解 
释 ) 第 五 条 规定 :“ 利 用 发 送 短信 和、 拨打 电话 、 互 联网 等 电信 技术 手段 对 不 特定 多 数 人 实施 诈 
骗 ,诈骗 数额 难以 查证 ,但 具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 六 十 六 条 规定 的 “其 
他 严重 情节 ”, 以 诈骗 罪 ( 未 遂 ) 定 罪 处 罚 : (一 ) 发 送 诈 骗 信 息 五 千 条 以 上 的 ; (二 ) 拨 打 诈 骗 
电话 五 百人 次 以 上 的 ; (三 ) 诈 骗 手 段 恶劣 .危害 严重 的 。 实 施 前 款 规定 行为 ,数量 达到 前 款 
第 (一 ) (二 ) 项 规定 标准 十 倍 以 上 的 ,或 者 诈骗 手段 特别 恶劣 .危害 特别 严重 的 ,应 当 认 定 为 
刑法 第 二 百 六 十 六 条 规定 的 “其 他 特别 严重 情节 ,以 诈骗 罪 ( 未 遂 ) 定 罪 处 罚 ," 根 据 以 上 规 
定 ,侦查 人 员 可 以 对 犯罪 现场 用 于 网 络 诈骗 设备 内 的 电子 数据 取证 ,获取 其 发 送 诈骗 信息 或 
拨打 诈骗 电话 的 次 数 ,再 结合 嫌疑 人 口供 ,嫌疑 人 涉案 银行 账号 往来 账目 等 证 据 证 明 嫌 疑 人 
的 诈骗 行为 。 

在 网 络 侵犯 著作 权 的 案件 中 ,嫌疑 人 未 经 著作 权 人 许可 ,以 营利 为 目的 通过 网 络 传播 他 
人 作品 。 司 法 实践 中 ,被 网 络 侵权 的 作品 种 类 繁多 且 数 量 巨大 ,侦查 机 关 很 难 按照 传统 犯罪 
的 证 明 规 则 来 逐一 向 著作 权 人 或 其 代理 人 取证 收集 未 经 著作 权 人 许可 的 证 据 。 针 对 此 种 情 
况 ,《 关 于 办 理 侵犯 知识 产权 刑事 案件 适用 法 律 若 干 问题 的 意见 ) 第 十 一 条 规定 :“ 未 经 著作 
权 人 许可 一 般 应 当 依 据 著 作 权 人 或 者 其 授权 的 代理 人 、 著 作 权 集体 管理 组 织 、 国 家 著作 权 行 
政 管理 部 门 指 定 的 著作 权 认 证 机 构 出 具 的 涉案 作品 版 权 认证 文书 ,或 者 证 明 出 版 者 、 复 制 发 
行者 伪造 \ 涂 改 授权 许可 文件 或 者 超出 授权 许可 范围 的 证 据 , 结 合 其 他 证 据 综 合 予 以 认定 。 
在 涉案 作品 种 类 众多 且 权 利 人 分 散 的 案件 中 ,上 述 证 据 确 实 难以 一 一 取得 ,但 有 证 据 证 明 涉 
案 复制 品系 非法 出 版 ,复制 发 行 的 , 且 出 版 者 、 复 制 发 行者 不 能 提供 获得 著作 权 人 许可 的 相 
关 证 明 材 料 的 ,可 以 认定 为 “未 经 著作 权 人 许可 ”。 但 是 ,有 证 据 证 明 权利 人 放弃 权利 涉案 
作品 的 著作 权 不 受 我 国 著 作 权 法 保护 ,或 者 著作 权 保 护 期 限 已 经 届满 的 除外 。” 

在 网 络 赌博 案件 中 ,嫌疑 人 用 于 接收 赌资 的 银行 账户 内 资金 流水 往往 有 成 千 上 万 笔记 
录 , 侦 查 机 关 很 难 查 清 每 笔 资金 的 投注 人 并 逐一 取证 。 针 对 此 种 情况 《关于 办 理 网 络 赌博 
犯罪 案件 适用 法 律 若干 问题 的 意见 ) 第 三 条 规定 :“ 对 于 开设 赌场 犯罪 中 用 于 接收 ,流转 赌 
资 的 银行 账户 内 的 资金 ,犯罪 嫌疑 人 、 被 告 人 不 能 说 明 合法 来 源 的 ,可 以 认定 为 赌资 。 向 该 
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银行 账户 转 入 、 转 出 资金 的 银行 账户 数量 可 以 认定 为 参 赌 人 数 。 如 果 查 实 一 个 账户 多 人 使 
用 或 多 个 账户 一 人 使 用 的 ,应 当 按 照 实际 使 用 的 人 数 计算 参 赌 人 数 .” 

在 网 络 组 织 传销 案件 中 ,嫌疑 人 利用 网 络 发 展 下 线 , 按 照 一 定 顺序 组 成 层级 ,形成 人 数 
众多 的 传销 犯罪 组 织 。 由 于 互联 网 高 效 跨 地 域 组 织 团队 的 特点 使 传销 组 织 内 人 员 众 多 ,上 且 
分 散 至 各 地 ,侦查 机 关 难 以 对 每 个 涉案 人 员 逐 一 调查 取证 。 如 果 按 照 传统 组 织 传销 犯罪 的 
证 明 规 则 ,侦查 机 关 会 因 无 法 查证 传销 组 织 的 层级 和 人 数 导 致 无 法 证 明 诈 骗 犯罪 事实 。 针 
对 此 种 情况 《关于 办 理 组 织 领 导 传 销 活动 刑事 案件 适用 法 律 若干 问题 的 意见 } 第 一 条 规定 : 
“办 理 组 织 、 领 导 传销 活动 刑事 案件 中 , 确 因 客观 条 件 的 限制 无 法 逐一 收集 参与 传销 活动 人 
员 的 言词 证 据 的 ,可 以 结合 依法 收集 并 查证 属实 的 缴纳 、 支 付费 用 及 计酬 ,返利 记录 ,视听 资 
料 , 传 销 人 员 关 系 图 ,银行 账户 交易 记录 ,互联 网 电子 数据 ,鉴定 意见 等 证 据 , 综 合 认 定 参与 
传销 的 人 数 . 层 级 数 等 犯罪 事实 。 "根据 以 上 规定 ,侦查 人 员 可 以 对 传销 网 站 后 台 的 电子 数据 
取证 ,对 其 进行 整理 分 析 绘 制图 表 , 结 合资 金 交 易 记 录 等 证 据 来 证 明 传 销 组 织 的 层级 和 
人 数 。 

在 网 络 非法 集资 案件 中 , 因 集资 参与 人 人 数 众 多 , 侦查 机 关 难 以 逐一 取证 。《 关 于 办 理 
非法 集资 案件 适用 法 律 若 干 问题 的 意见 》 第 六 条 规定 :“ 办 理 非 法 集资 刑事 案件 中 , 确 因 客 
观 条 件 的 限制 无 法 逐一 收集 集资 参与 人 的 言词 证 据 的 ,可 结合 已 收集 的 集资 参与 人 的 言词 
证 据 和 依法 收集 并 查证 属实 的 书面 合同 .银行 账户 交易 记录 、 会 计 赁 证 及 会 计 账 德 、 资 金 收 
付 赁 证、 审计 报告 .互联 网 电子 数据 等 证 据 , 综 合 认定 非法 集资 对 象 人 数 和 吸收 资金 数额 等 
犯罪 事实 。” 

上 述 案 件 均 为 针对 或 者 组 织 、 教 唆 、 帮 助 不 特定 多 数 人 实施 的 网 络 犯 罪案 件 ,其 犯罪 事 
实 的 证 明 规则 与 传统 犯罪 的 证 明 规 则 不 同 。 

《网 络 犯罪 刑事 诉讼 程序 意见 ) 第 二 十 条 对 此 证 明 规则 加 以 规定 :“ 对 针对 或 者 组 织 、 教 
唆 、 帮 助 不 特定 多 数 人 实施 的 网 络 犯 罪案 件 , 确 因 客 观 条 件 限制 无 法 逐一 收集 相关 言词 证 据 
的 ,可 以 根据 记录 被 害 人 数 、 被 侵害 的 计算 机 信息 系统 数量 、 涉 案 资 金 数 额 等 犯罪 事实 的 电 
子 数据 ,书证 等 证 据 材料 ,在 慎重 审查 被 告 人 及 其 辩护 人 所 提 辩 解 .辩护 意见 的 基础 上 ,综合 
全 案 证 据 材 料 , 对 相关 犯罪 事实 作出 认定 。 "具体 而 言 , 对 于 涉 众 型 网 络 犯罪 的 特殊 证 明 需 要 
注意 三 点 : 

(1) 适用 范围 为 针对 或 者 组 织 、 教 唆 、 帮 助 不 特定 多 数 人 实施 的 网 络 犯罪 案件 , 即 涉 众 
型 网 络 犯罪 案件 ,对 于 一 般 的 网 络 犯罪 案件 ,不 能 适用 。 

(2) 获取 了 电子 数据 ,书证 等 证 据 记 录 被 害 人 数 、 被 侵害 的 计算 机 信息 系统 数量 涉案 
资金 数额 等 犯罪 事实 , 即 对 于 基本 犯罪 事实 已 经 有 相应 的 客观 性 证 据 证 明 , 如 通过 诈骗 网 站 
后 台 获 得 被 诈骗 的 受害 人 数 , 通 过 银行 资金 流水 记录 获取 网 络 盗窃 金额 等 。 然 而 ,对 这 些 证 
据 由 于 客观 条 件 的 限制 无 法 逐一 收集 相关 的 言词 证 据 。 如 电信 诈骗 中 犯罪 嫌疑 人 的 银行 账 
号 中 往往 有 成 千 上 万 笔 汇款 记录 ,无 法 一 一 找到 被 害 人 并 做 笔录 。 

(3) 在 慎重 审查 被 告 人 及 其 辩护 人 所 提 辩 解 、 辩 护 意见 的 基础 上 ,综合 全 案 证 据 材 料 ， 
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对 相关 犯罪 事实 作出 认定 。 例 如 ,犯罪 嫌疑 人 提出 涉嫌 诈骗 的 账户 里 有 合法 收入 并 提供 相 
反 证 据 , 经 查证 属实 或 不 能 排除 相关 财产 系 合法 收入 的 合理 怀疑 的 , 则 不 能 认定 该 笔 犯罪 
事实 。 


5.3.3 小 结 


查 明 事实 与 收集 证 据 的 法 律 依据 .工作 原则 和 基本 思路 均 与 传统 犯罪 案件 侦查 无 异 , 但 
由 于 网 络 犯 罪 侦查 工作 对 象 的 网 络 虚拟 性 、 跨 地 域 性 及 电子 数据 证 据 的 特殊 表现 形式 ,使 得 
其 在 查 明 事实 时 所 使 用 的 侦查 措施 、 收 集 证 据 时 所 依据 的 犯罪 事实 证 明 规则 与 传统 犯罪 侦 
查 有 较 大 的 差异 。 充 分 做 好 查 明 事实 和 收集 证 据 工 作 , 才 能 为 网 络 犯罪 案件 的 成 功 侦破 打 
下 坚实 的 基础 。 


5.4 认定 捕获 嫌疑 人 


刑事 案件 侦查 中 的 ”认定 捕获 嫌疑 人 ”环节 ,是 指 侦查 机 关 在 查 明 犯 罪 事实 ,收集 证 据 的 
基础 上 通过 同一 认定 方法 认定 犯罪 嫌疑 人 并 实施 抓 捕 的 环节 。 网 络 犯罪 案件 的 嫌疑 人 认定 
与 抓 捕 环节 ,结合 由 于 网 络 犯罪 的 自身 特点 ,应 注意 以 下 几 个 方面 。 


5.4.1 网 络 犯罪 索 件 嫌疑 人 的 认定 


认定 嫌疑 人 是 刑事 犯罪 侦查 的 目的 ,是 刑事 犯罪 侦查 过 程 中 的 核心 环节 。 侦 查 学 中 认 
定 嫌疑 人 采用 的 方法 为 同一 认定 法 。 同 一 认定 法 将 侦查 工作 需要 查找 的 嫌疑 人 称 为 "被 寻 
找 客体 ”, 而 将 在 “ 查 明 事实 与 收集 证 据 ? 环 节 被 纳入 工作 视线 进行 排查 的 人 员 称 为 “受审 查 
客体 ”, 则 认定 嫌疑 人 的 过 程 就 成 为 认定 被 寻找 客体 与 受审 查 客体 是 否 同一 的 过 程 。 具体 方 
法 就 是 比较 被 寻找 客体 与 受审 查 客体 的 特征 是 否 一 致 来 判断 客体 是 否 同一 。 客 体 的 特征 是 
多 种 多 样 的 ,在 不 同 的 认定 活动 中 侦查 人 员 获 得 特征 数量 不 同 ,并 且 每 种 特征 的 稳定 性 、 反 
映 性 ,特定 性 也 不 尽 相 同 ,侦查 人 员 应 根据 特征 的 具体 情况 并 结合 案情 进行 综合 分 析 研判 ， 
得 出 认定 结论 。 

一 般 来 讲 ,侦查 人 员 进 行 同一 认定 所 依据 的 客体 特征 主要 分 为 形象 痕迹 特征 、 活 动 习惯 
特征 、 物 质 成 分 特征 时间 空间 特征 四 类 。 其 中 形象 痕迹 特征 指 嫌疑 人 的 外 在 表象 及 涉案 物 
品 和 痕迹 ,包括 嫌疑 人 的 体 貌 特征 、 遗 留 气 味 、 指 纹 、 是 迹 、 现 场 遗 留 工 具 等 ; 活动 习惯 特征 
指 嫌疑 人 的 生理 活动 习惯 ,心理 活动 习惯 及 技能 习惯 ,包括 嫌疑 人 的 说 话 习惯 ,走路 习惯 .个 
人 瓣 好 性格 特 点 ,心理 素质 \ 文 化 水 平 、. 职 业 习 惯 、 笔 迹 等 ; 物质 成 分 特征 包括 嫌疑 人 的 血 
型 ,DNA 及 现场 遗留 微量 物证 的 物质 成 分 ; 时 间 空 间 特征 则 指 嫌疑 人 占有 的 时 间 和 空间 的 
情况 ,可 以 用 来 判断 受审 查 客体 是 否 具有 作案 时 间或 是 否 在 犯罪 现场 。 侦 查 人 员 通 过 对 上 
述 客体 特征 进行 一 一 比较 , 找 出 被 寻找 客体 与 受审 查 客体 二 者 特征 的 一 致 点 或 差异 点 ,在 此 
基础 上 结合 案情 综合 分 析 研 判 得 出 同一 认定 结论 ,最 终 认定 犯罪 嫌疑 人 。 网 络 犯罪 案件 的 
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嫌疑 人 认定 与 传统 犯罪 嫌疑 人 认定 在 基本 原则 、 一 般 方法 和 认定 步骤 等 方面 均 相 同 , 只 是 由 
于 网 络 犯罪 行为 主要 发 生 在 网 上 ,其 与 传统 犯罪 中 的 客体 特征 相 比 多 出 了 嫌疑 人 的 网 络 特 
征 , 包 括 嫌疑 人 登录 日 志 、 网 络 虚拟 身份 .电子 数据 等 。 值 得 注意 的 是 ,侦查 人 员 根 据 客体 的 
网 络 特征 进行 客体 的 同一 认定 时 ,应 充分 了 解 网 络 特征 同一 认定 的 不 确定 性 。 与 指纹 、 
DNA 这 种 “证 据 之 王 ” 式 的 客体 特征 不 同 ,网 络 特征 的 特定 性 程度 不 高 , 仅 以 其 为 依据 所 作 
出 的 同一 认定 结论 的 确定 性 程度 也 较 低 。 


5.4.2 网 络 犯罪 案件 的 抓 桶 时 机 选择 


侦查 人 员 在 认定 犯罪 嫌疑 人 后 应 对 嫌疑 人 开展 抓 捕 工作 。 抓 捕 犯 罪 嫌 疑 人 会 遇 到 抓 捕 
时 机 选择 的 问题 ,时 机 选择 过 早 会 导致 打 草 惊 蛇 不 能 将 所 有 嫌疑 人 一 网 打 尽 ,而 时 机 选择 过 
迟 则 容易 贻误 战机 使 嫌疑 人 逃 之 天 天 。 这 就 要 求 侦查 人 员 深 入 收集 情报 信息 ,全 面 分 析 研 
判 案情 ,从 人 员 安 全 、 抓 捕 难 度 .证 据 收 集 、 侦 查 成 本 等 方面 综合 评估 抓 捕 行 动 , 选 择 一 个 最 
佳 的 抓 捕 时 机 。 网 络 犯罪 案件 团伙 作案 较 多 ,作案 手法 隐蔽 .案件 证 据 极 易 在 现场 销毁 ,对 
其 犯罪 嫌疑 人 抓 捕 时 机 的 选择 应 在 保证 人 员 安 全 第 一 前 提 的 基础 上 注意 以 下 问题 。 

首先 网 络 犯罪 案件 抓 捕 时 机 的 选择 应 树立 全 局 意识 。 网 络 犯罪 团伙 作案 较 多 , 当前 表 
现形 式 较 为 突出 的 网 络 赌博 、 网 络 传销 、 网 络 组 织 卖淫 、 网 络 销 售 违禁 品 等 都 是 利用 网 络 勾 
连 ,组 织 了 传统 方式 难以 组 建 的 人 数 众多 ,分 层级 管理 的 庞大 团伙 。 这 些 团伙 有 的 上 下 层 关 
系 较为 松散 ,各 层级 负责 事务 相对 独立 ,有 的 却 上 下 层 联系 紧密 ,定期 网 上 沟通 ,团伙 内 部 牵 
一 发 而 动 全 身 。 

其 次 网 络 犯罪 案件 抓 捕 时 机 的 选择 应 树立 人 \ 证 并 获 的 意识 。 网 络 犯罪 作案 手法 隐蔽 ， 
证 据 获 取 难 度 较 大 。 许 多 网 络 犯罪 案件 的 侦查 难点 在 于 是 否 可 以 收集 到 证 明 嫌疑 人 犯罪 的 
证 据 , 而 不 在 于 抓 捕 嫌疑 人 。 


S.4.3 小 结 


网 络 犯罪 侦查 过 程 中 的 核心 环节 就 是 认定 嫌疑 人 并 开展 抓 捕 工作 。 为 准确 认定 并 成 功 
将 嫌疑 人 一 网 打 尽 ,侦查 人 员 需 要 根据 具体 情况 ,深入 收集 情报 信息 ,全 面 分 析 研 判 案情 ,并 
从 人 员 安 全 、 抓 捕 难 度 .证 据 收集 、 侦 查 成 本 等 方面 综合 制定 抓 捕 行 动 方案 。 


5.5 侦查 终结 


侦查 终结 是 刑事 案件 侦查 的 结束 环节 ,是 指 侦查 机 关 经 过 查 明 事实 与 收集 证 据 、 认 定 捕 
获 嫌 疑 人 等 一 系列 侦查 活动 后 ,认为 案件 事实 已 经 查 清 , 证 据 确 实 、 充 分 ,法 律 手续 完备 , 足 
以 认定 犯罪 嫌疑 人 是 否 有 罪 和 是 否 应 当 追 究 其 刑事 责任 而 决定 结束 侦查 ,并 对 案件 依法 作 
出 结论 和 处 理 的 环节 。 侦 查 终结 应 当 具备 以 下 条 件 : 

(1) 案件 事实 清楚 。 案 件 事实 清楚 ,是 指 以 下 事实 清楚 : 被 指控 的 犯罪 事实 确实 发 生 ; 
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犯罪 嫌疑 人 实施 了 犯罪 行为 与 犯罪 嫌疑 人 实施 犯罪 行为 的 时 间 、 地 点 、 手 段 、 经 过 、 后 果 以 及 
其 他 情节 ; 影响 犯罪 嫌疑 人 定罪 量刑 的 身份 情况 ; 犯罪 嫌疑 人 有 刑事 责任 能 力 ; 犯罪 嫌疑 
人 的 罪过 及 其 犯罪 动机 、 目 的 ; 是否 共同 犯罪 及 犯罪 嫌疑 人 在 共同 犯罪 中 的 地 位 、 作 用 ; 对 
犯罪 嫌疑 人 从 重 、 从 轻 、 减 轻 或 者 免除 处 罚 的 事实 和 情节 。 具 有 下 列 情形 之 一 的 ,可 以 确认 
犯罪 事实 已 经 查 清 : 

@ 属于 单一 罪行 的 案件 , 查 清 的 事实 足以 定罪 量刑 或 者 与 定罪 量刑 有 关 的 事实 已 经 查 
清 , 不 影响 定罪 量刑 的 事实 无 法 查 清 的 ; 

@ 属于 数 个 罪行 的 案件 ,部 分 罪行 已 经 查 清 并 符合 起 诉 条 件 ,其 他 罪行 无 法 查 清 的 ， 

@ 无 法 查 清 作案 工具 ,赃物 去 向 ,但 有 其 他 证 据 足 以 对 犯罪 嫌疑 人 定罪 量刑 的 ; 

@ 证 人 证 言 . 犯 罪 嫌疑 人 供述 和 辩解 ,被害 人 陈述 的 内 容 中 主要 情节 一 致 ,只 有 个 别 情 
节 不 一 致 且 不 影响 定罪 的 。 

(2) 证 据 确 实 、 充 分 。 案 件 的 事实 完全 建立 在 已 经 取得 的 确实 充分 的 证 据 基 础 之 上 。 
证 据 确 实 、 充 分 应 当 满 足 三 个 条 件 : 定罪 量刑 的 事实 都 有 证 据 证 明 ; 据 以 定案 的 证 据 均 经 
法 定 程序 查证 属实 ; 综合 全 案 证 据 , 对 所 认定 事实 已 排除 合理 怀疑 。 

(3) 犯罪 性 质 和 罪名 认定 正确 。 犯 罪 性 质 是 指 犯 罪行 为 是 属 何 类 、 何 种 罪 的 根本 属性 ， 
罪名 是 指 根据 刑法 对 某 一 犯罪 行为 所 规定 的 名 称 。 准 确认 定 犯罪 性 质 、 正 确 确 定罪 名 是 侦 
查 终 结 的 重要 条 件 , 对 于 划 清 罪 与 非 罪 ,此 罪 与 彼 罪 的 界限 ,对 犯罪 嫌疑 人 的 正确 定罪 量刑 
都 有 重要 意义 。 

(4) 法 律 手续 完备 。 侦 查 终结 时 ,要 求 各 种 法 律 手续 和 制作 的 法 律 文书 必须 齐全 、 完 
整 ,并 将 全 部 文书 材料 装订 立 卷 。 案 卷 分 为 诉讼 卷 、 侦 查 工 作 卷 。 诉 讼 卷 是 移送 同 级 人 民 检 
察 院 审查 起 诉 的 诉讼 案卷 。 案 件 侦查 中 各 种 法 律 文书 ,获取 的 证 据 及 其 他 诉讼 文书 材料 都 
订 入 此 卷 。 视 听 资 料 作为 证 据 , 不 能 装订 入 卷 的 , 放 入 资料 袋 中 随 案卷 移送 。 实 物证 据 不 能 
装订 入 卷 的 ,应 拍 成 照片 人 卷 。 电 子 数据 作为 证 据 入 卷 时 ,对 收集 .提取 的 原始 存储 介质 或 
者 电子 数据 应 当 以 封存 状态 随 案 移送 ,并 制作 电子 数据 的 复制 件 一 并 移送 。 对 文档 \ 图 片 、 
网 页 等 可 以 直接 展示 的 电子 数据 ,可 以 不 随 案 移 送 电 子 数据 打印 件 ,但 应 当 附 有 展示 方法 说 
明和 展示 工具 。 侦 查 工 作 卷 是 记录 侦查 机 关内 部 侦查 工作 过 程 的 文书 材料 卷宗 ,由 侦查 机 
关 存 档 备查 。 

以 上 四 个 条 件 是 紧密 联系 的 整体 ,必须 同时 具备 上 述 条件 ,才能 侦查 终结 。 

需要 说 明 的 是 ,公安 机 关 曾 在 侦查 终结 之 前 规定 了 破案 环节 。 如 果 侦 查 中 满足 了 犯 引 
事实 已 有 证 据 证 明 ` 有 证 据 证 明 犯 罪 事 实 是 犯罪 嫌疑 人 实施 的 .犯罪 嫌疑 人 或 者 主要 犯罪 嫌 
疑 人 已 经 归案 这 三 个 条 件 ,公安 机 关 即 可 宣布 破案 。 但 是 由 于 《刑事 诉讼 法 ) 中 从 未 使 用 过 
破案 这 一 概念 ,并 且 在 司法 实践 中 仅 实现 破案 的 条 件 还 不 足以 证 明 犯 罪 , 侦 查 人 员 在 破案 后 
还 必须 进一步 深化 侦查 取证 工作 才能 对 案件 移送 审查 起 诉 。 为 转变 侦查 办 案 方式 ,实现 由 
“ 抓 人 破案 ”向 “证 据 定案 ”的 目标 转变 ,公安 部 于 2012 年 对 《公安 机 关 办 理 刑 事 案件 程序 规 
定 ) 做 出 了 修改 ,取消 了 刑事 侦查 工作 中 有 关 破 案 的 规定 ,不 再 将 破案 作为 侦查 的 程序 环节 。 
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侦查 终结 的 案件 处 理 结果 有 两 种 : 或 移送 审查 起 诉 , 或 撤销 案件 。 

对 于 犯罪 事实 清楚 ,证 据 确实 、 充 分 ,犯罪 性 质 和 罪名 认定 正确 ,法 律 手续 完备 ,依法 应 
当 追 究 刑事 责任 的 案件 ,应 当 移送 人 民 检 察 院 审查 起 诉 。 网 络 犯 罪案 件 由 于 跨 地 域 作案 、 团 
伙 人 员 众 多 关系 松散 、 犯 罪 利 益 链 条 遍布 广泛 等 特点 ,侦查 机 关 往 往 无 法 做 到 将 犯罪 利益 链 
条 上 的 所 有 犯罪 嫌疑 人 一 次 全 部 抓 捕 到 位 。 出 现 只 抓获 部 分 犯罪 嫌疑 人 ,而 其 他 犯罪 嫌疑 
人 没 到 案 的 情况 时 《网 络 犯罪 刑事 诉讼 程序 意见 》 第 九条 规定 :“ 部 分 犯罪 嫌疑 人 在 逃 , 但 
不 影响 对 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 的 犯罪 事实 认定 的 网 络 犯罪 案件 ,可 以 依法 先行 追 
究 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 的 刑事 责任 。” 

经 过 侦查 ,发 现 所 立案 件 具 有 下 列 情形 之 一 的 ,应 当 撤 销 案 件 : 没有 犯罪 事实 的 ; 情节 
显著 轻微 ,危害 不 大 ,不 认为 是 犯罪 的 ; 犯罪 已 过 追诉 时 效 期 限 的 ; 犯罪 嫌疑 人 死亡 的 ; 经 
济 犯罪 案件 ,经 立案 侦查 ,对 犯罪 嫌疑 人 解除 强制 措施 后 十 二 个 月 , 仍 不 能 移送 审查 起 诉 或 
者 依法 作 其 他 处 理 的 ; 其 他 依法 不 追究 刑事 责任 的 。 


5.6 本 章 小 结 


刑事 案件 侦查 按 工作 的 具体 过 程 通常 可 以 分 为 受 案 、 立 案 、 查 明 事 实 与 收集 证 据 、 认 定 

捕获 嫌疑 人 、 侦 查 终结 这 五 个 环节 步骤 。 网 络 犯 罪 侦查 的 程序 步 又 与 传统 犯罪 侦查 无 异 , 但 
由 于 网 络 的 特点 使 其 在 侦查 程序 的 各 环节 步骤 都 有 适应 网 络 犯罪 特点 的 针对 性 规定 。 
受 案 环 节 应 注意 网 络 线索 及 电子 数据 证 据 的 收集 ,依法 开展 初 查 工 作 并 按 网 络 犯罪 案 
件 的 地 域 管辖 规定 、 管 辖 争议 处 理 原则 并 案 处 理 规 定 等 相关 规定 明确 案件 的 管辖 。 立 案 环 
节 应 注重 及 时 掌握 最 高 法 、 最 高 检 及 公安 部 针对 各 类 新 型 网 络 犯罪 出 台 的 立案 定罪 标准 ,对 
经 审查 符合 立案 条 件 的 网 络 犯罪 案件 及 时 立案 。 查 明 事实 与 收集 证 据 环节 应 按 网 络 犯罪 的 
规律 灵活 使 用 各 种 侦查 措施 , 按 网 络 犯罪 事实 的 证 明 规 则 来 收集 ` 调 取 嫌 疑 人 有 罪 或 者 无 
罪 、 罪 轻 或 者 罪 重 的 证 据 。 认 定 捕获 嫌疑 人 环节 应 清楚 网 络 特征 对 嫌疑 人 认定 的 作用 ,根据 
特征 的 具体 情况 结合 案情 进行 综合 分 析 研 判 , 并 从 抓 捕 难 度 、 证 据 收 集 等 多 方面 综合 考虑 制 
定 抓 捕 行动 方案 。 对 于 犯罪 事实 清楚 ,证 据 确 实 、 充 分 ,犯罪 性 质 和 罪名 认定 正确 ,法 律 手续 
完备 的 网 络 犯罪 案件 应 进入 侦查 终结 环节 ,部 分 犯罪 嫌疑 人 在 逃 ,但 不 影响 对 已 到 案 共 同 犯 
罪 嫌 疑 人 的 犯罪 事实 认定 的 网 络 犯罪 案件 ,可 以 先行 追究 已 到 案 人 的 刑事 责任 。 


思 考 题 


- 网 络 犯罪 案件 职能 管辖 是 什么 ? 

. 网 络 犯罪 案件 地 域 管辖 的 一 般 原则 是 什么 ? 
. 网 络 犯罪 案件 受 案 应 注意 什么 ? 

. 立案 的 条 件 是 什么 ? 


心情 
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. 查 明 事实 所 使 用 的 侦查 措施 有 哪些 ? 

. 网 络 犯罪 事实 的 证 明 规 则 与 传统 犯罪 事实 的 证 明 规 则 有 哪些 不 同 ? 
. 网 络 犯罪 案件 嫌疑 人 认定 应 注意 什么 ? 

. 如 何 选择 网 络 犯罪 案件 的 抓 捕 时 机 ? 

. 侦查 终结 的 条 件 是 什么 ? 


侦查 谋略 


本 章 学 习 目标 

。 侦查 谋略 的 概念 和 特点 
。 侦查 谋略 的 原则 

。 线索 收集 的 谋略 

。 线索 幅 别 的 思路 

。 线索 扩展 的 谋略 

。 侦查 途径 的 选择 

。 询问 和 讯问 的 谋略 


6.1 侦查 谋略 概述 


6.1.1 侦查 谋略 的 概念 


侦查 谋略 是 侦查 人 员 在 侦查 活动 中 ,根据 案件 客观 情况 ,有 意识 地 、 自 发 地 将 一 定 策 略 
灵活 运用 于 侦查 活动 中 ,以 揭露 .证实 犯罪 的 智慧 应 用 。 在 当前 网 络 犯罪 侦查 工作 中 , 仅 有 
侦查 技术 是 不 够 的 ,还 必须 有 能 够 对 侦查 技术 灵活 运用 的 侦查 策略 ,才能 战胜 对 手 。 侦 查 谋 
略 是 侦查 活动 的 "灵魂 ”在 侦破 网 络 犯罪 案件 、 深 控 余 罪 . 扩 大 战果 方面 起 到 了 关键 作用 , 甚 
至 维系 到 一 个 案件 的 成 败 。 

侦查 谋略 ,有 时 被 认为 是 针对 嫌疑 人 实施 的 * 施 计 ”, 需 要 通过 “威逼 利诱 "等 方式 来 突破 
嫌疑 人 的 防线 。 这 是 不 正确 的 。 网 络 犯罪 侦查 谋略 是 在 数据 搜集 、 分 析 的 基础 上 ,对 案件 抽 
丝 剥 茧 ,不 断 地 转变 思路 ,同时 融入 了 社会 工程 学 等 相关 网 络 思维 的 新 型 侦查 谋略 。 

网 络 犯罪 侦查 的 预谋 ,准备 实施 的 大 量 过 程 由 原来 的 现实 社会 向 虚拟 世界 转移 。 但 是 
传统 侦查 谋略 在 网 络 案件 侦查 中 仍然 适用 。 例 如 ,深圳 警方 提出 了 网 络 九 要 素 管理 法 , 即 把 
ISP 当 高 速 公路 管理 .把 IDC 当 出 租 屋 管理 .把 网 站 当 公 共 场 所 管理 .把 安全 从 业 人 员 当 保 
安 管理 ,把 网 民 当 现实 人 口 管 理 , 把 虚拟 财产 当 现 实 财产 管理 等 。 可 见 网 络 社会 管理 并 不 是 
与 现实 社会 割裂 开 的 ,在 传统 刑事 犯罪 侦查 中 运用 的 谋略 在 网 络 犯罪 侦查 中 可 以 发 挥 同 样 
作用 ,只 不 过 要 在 网 络 新 形势 下 继续 发 展 和 完善 。 
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网 络 时 代 , 侦 查 谋 略 需要 侦查 技术 的 助力 ,才能 在 网 络 斗争 中 发 挥 巨大 的 作用 。 二 者 是 
相辅相成 的 。 而 侦查 技术 只 是 对 侦查 工作 的 辅助 ,侦查 工作 依靠 侦查 技术 简化 工作 ,把 侦查 
员 从 简单 的 重复 劳动 中 解放 出 来 ,但 绝 不 能 简单 地 仅仅 依赖 侦查 技术 。 即 便 在 没有 一 些 先 
进 的 侦查 技术 的 年 代 , 侦 查 机 关 仍 然 可 以 抓 人 破案 ,维护 社会 稳定 。 单 纯 依赖 技术 侦查 措 
施 , 缺 乏 侦查 思路 ,忽略 侦查 谋略 往往 在 工作 中 事倍功半 ,无 法 在 对 犯罪 分 子 的 较量 上 占据 
上 风 。 


6.1.2 侦查 谋略 的 特点 


从 实践 中 看 ,网 络 犯罪 侦查 谋略 具有 以 下 特点 。 

1. 合法 性 

侦查 谋略 是 侦查 机 关 如 何 发 挥 主观 能 动 性 来 查 明 案情 .获取 线索 和 固定 证 据 的 思维 。 
过 程 上 属于 侦查 权 的 实施 ,本 质 上 在 法 律 的 框架 下 进行 。 侦 查 机 关 不 能 逾越 法 律 的 雷池 , 采 
取 其 他 的 非法 策略 来 进行 侦查 。 

2. 智谋 性 

所 谓 谋略 ,就 是 计策 .计谋 和 策略 。 它 需要 灵活 使 用 方法 ,变换 思考 角度 。 侦 查 谋略 具 
有 智谋 性 , 即 是 侦查 人 员 与 嫌疑 人 之 间 的 智力 较量 ,又 是 侦查 人 员 挖 掘 自 身 思维 的 过 程 。 这 
一 点 ,在 网 络 时 代 高 科技 犯罪 的 环境 下 ,体现 得 更 为 淋漓 尽 致 。 犯 罪 嫌 疑 人 的 智商 ,情商 远 
远 比 我 们 想象 中 要 高 。 谁 把 嫌疑 人 当 “ 傻 子 ”, 谁 才 是 真正 的 “傻子 ”。 只 有 在 智谋 上 取胜 , 才 
能 在 侦查 中 取得 突破 。 

3. 全 面 性 

(1) 侦查 谋略 应 用 的 基础 是 对 案情 的 全 面 掌 握 。 从 作案 手段 特点 .交通 工具 、 侵 害 对 
象 、 现 场 痕迹 物证 、 体 貌 特 征 .虚拟 身份 .即时 通讯 工具 出 发 , 选 准时 机 、 分 类 信息 .甄别 线索 、 
全 面 分 析 。 

(2) 侦查 谋略 应 用 的 关键 是 对 嫌疑 人 的 全 面 分 析 。 一 是 从 大 量 收集 的 信息 中 勾勒 出 嫌 
疑 人 虚拟 画像 : 二 是 判断 出 嫌疑 人 的 行为 和 后 果 , 以 及 未 来 的 行动 。 


6.2 侦查 谋略 的 原则 


6.2.1 合法 性 的 原则 


侦查 谋略 是 为 了 破获 案件 而 使 用 的 方式 方法。 目的 是 打击 犯罪 。 侦 查 谋略 必须 在 法 
律 的 框架 下 进行 ,如 果 侦查 谋略 的 实施 会 诱发 产生 新 的 犯罪 ,不 但 违背 了 使 用 侦查 谋略 的 初 
里 ,而 且 违 反 了 法 律 和 法 规 。 


6.2.2 专 群 结合 的 原则 
任何 工作 都 离 不 开 人 ,犯罪 是 这 样 ,侦查 也 是 这 样 ,谋略 还 是 这 样 。 要 加 强 网 络 犯 罪 侦 
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查 的 基础 工作 和 各 种 侦查 业务 工作 的 建设 ,不断 提升 打击 网 络 犯罪 的 专业 技能 ,总 结 遏 制 网 
络 犯罪 的 侦查 谋略 ， 还 要 认真 做 好 群众 工作 ,依靠 群众 ` 网 民 反 映 情况 ,提供 线索 ,网 络 服务 
提供 商 、 网 络 运营 商 配 合 工作 ,提供 证 据 。 二 者 不 可 分 离 , 相 互 促进 。 


6.2.3 客观 的 原则 


侦查 人 员 使 用 侦查 谋略 的 时 候 要 实事 求 是 ,不 能 主观 脐 断 ,在 分 析 犯 罪 事 实时 除了 做 有 
罪 的 推断 ,还 要 进行 无 罪 的 推定 。 这 些 推 定 都 要 建立 在 翔实 可 靠 的 证 据 基 础 上 。 


6.2.4 全 面 的 原则 


侦查 谋略 是 通过 收集 的 信息 和 线索 设置 心理 陷阱 ,分 析 判 断 犯罪 过 程 , 抽 丝 剥 草 提取 线 
索 , 引 导 侦 查 方向 。 收 集 信息 应 全 面 。 侦 查 谋略 要 全 面 。 既 有 线索 的 谋略 、 信 息 的 谋略 ,也 
有 勘查 的 谋略 .审讯 的 谋略 。 谋 略 可 以 应 用 于 侦查 的 每 一 个 阶段 。 


6.2.5 细致 的 原则 


侦查 谋略 是 公安 机 关 为 达到 一 定 的 侦查 目标 ,在 实施 网 上 案件 侦查 过 程 中 对 一 定 的 侦 
查 对 象 采取 的 灵活 有 效 、 以 智慧 克 敌 制胜 的 一 种 斗争 方式 。 本 来 的 目的 是 出 奇 制 胜 ,如 果 工 
作 不 细致 .谋划 不 认真 ,很 有 可 能 失 之 毫 厘 、 雇 以 千里 .起 到 适得其反 的 作用 。 在 分 析 解 决 问 
题 时 ,尤其 是 一 些 复杂 的 案件 线索 ,往往 会 涉及 多 种 因素 ,要 经 历 多 个 环节 。 若 想 成 功 破案 ， 
必须 经 过 细致 和 周密 的 策划 。 


6.3 线索 收集 的 谋略 


线索 收集 是 侦查 谋略 中 重要 的 一 环 。 网 络 犯罪 侦查 是 不 接触 的 对 抗 ,因此 线索 信息 收 
集 不 是 简单 地 通过 询问 、 讯 问 、 勘 验 等 方式 来 获取 信息 ,应 当 根据 案情 ,来 预 判 可 能 会 获取 的 
线索 信息 , 尽 可 能 通过 各 种 方法 、 各 种 谋略 来 收集 案件 的 线索 信息 。 线 索 信息 收集 得 越 全 
面 ,对 于 侦查 的 助力 作用 越 大 。 


6.3.1 报案 人 受害 人 线索 信息 的 收集 


通过 询问 ,来 获得 报案 人 或 者 受害 人 的 基本 信息 ,是 案件 侦查 的 起 点 。 以 便于 了 解 案 
情 , 判 断 侦查 方向 。 

公民 基本 信息 包括 身份 证 号 码 \ 姓 名 性别、 年 龄 .民族 籍贯. 职业 .单位 .职务 专业、 从 
事 本 工作 时 间 , 与 他 人 有 无 过 节 等 信息 。 

电子 信息 包括 即时 通讯 号 码 和 上 昵称、 论坛 用 户 名 、 邮 箱 名 、 博 客 和 微 博 账户 、 宽 带 号 码 、 
手机 号 码 等 。 

注意 : 不 要 以 为 报案 人 就 一 定 和 案件 毫 无 关联 。 网 络 犯罪 中 很 多 是 内 部 人 所 为 ,根据 


176 网 络 犯罪 侦查 


传统 侦查 工作 经 验 ,按照 对 现场 的 熟悉 程度 来 判断 ,报案 人 就 是 第 一 嫌疑 人 ,需要 首先 判断 
是 否 排除 嫌疑 。 所 以 收集 报案 人 和 所 谓 受 害 人 的 资料 是 必 不 可 少 的 。 


6.3.2 案情 线索 信息 的 收集 


案件 基本 情况 包括 以 下 部 分 : 

1. 发 案 时 间 

网 络 案件 大 多 跨 区 域 甚至 跨国 ,同时 计算 机 设备 有 可 能 有 时 间 不 准 的 情况 。 因 此 发 案 
时 间 要 求 尽量 精 确 到 秒 ,并 确定 有 无 时 间 误 差 。 

2. 物理 信息 

现场 所 在 地 址 、 位 置 ,网 络 拓扑 、 联 接 方式 。 网 络 案件 无 论 加害 还 是 被 害 , 都 会 有 物理 现 
场 存在 。 

可 以 通过 询问 和 勘 验 获取 ,例如 服务 器 配置 .管理 员 信 息 、 域 名 、IP 地 址 .DNS 等 信息 。 
如 网 络 遭 受 黑 客 攻 击 ,应 收集 的 信息 包括 系统 登录 文件 .应 用 登录 文件 ,网络 日 志 、 防 火 墙 登 
录 、 磁 盘 驱动 器 文件 备份 .电话 记录 等 。 

4. 加 害 人 情况 

很 多 被 害 人 只 在 网 络 上 和 嫌疑 人 有 过 接触 ,嫌疑 人 的 相貌 .年龄 ,甚至 性 别 可 能 与 真实 
情况 都 大 相 径 庭 。 但 是 仍然 要 被 害 人 仔细 回忆 ,详细 记录 。 

5. 案件 后 果 

网 络 违法 犯罪 案件 要 么 是 针对 计算 机 设备 的 数据 和 功能 ,要 记录 设备 的 损失 情况 。 要 
么 是 针对 财 和 物 ,所 以 要 记录 财产 和 物品 损失 情况 。 一 般 通 过 受害 人 、 事 主 或 者 当事人 描述 
和 证 明 材 料 来 体现 。 

6. 作案 手法 

作案 手法 主要 包括 网 络 案件 的 实施 方式 .作案 特点 .选择 时 机 、 侵 害 对 象 .工具 特点 等 。 
主要 通过 受害 人 描述 . 初 查 . 勘 验 、 侦 查实 验 等 方式 获取 。 


6.3.3 媒 疑 人 线索 信息 的 收集 


抓获 嫌疑 人 后 ,需要 收集 嫌疑 人 相关 信息 ,这 个 收集 和 侦查 期 间 的 收集 有 本 质 的 区 别 ， 
这 个 收集 主要 集中 在 收集 证 明 嫌 疑 人 和 案件 有 关 、 或 者 无 关 的 直接 证 据 。 

嫌疑 人 信息 的 收集 通过 对 其 讯问 \ 现 场 勘 验 、 对 住所 和 随身 物品 的 搜查 来 实现 。 

公民 基本 信息 包括 身份 证 号 码 、 姓 名 别名、 性 别 \ 年 龄 ,民族 、 籍 贯 、 职 业 、 单 位 、 地 址 、 毕 
业 院 校 、 计 算 机 水 平等 信息 。 

还 要 注意 收集 嫌疑 人 的 网 络 特征 ,包括 即时 通讯 号 码 和 上 昵称、 论坛 用 户 名 、 邮 箱 名 、 通 用 
密码 ,博客 和 微 博 账户 、 宽 带 号 码 、 手 机 号 码 等 。 

作案 手法 主要 包括 网 络 犯罪 的 实施 方式 .选择 时 机 、 侵 害 对 象 . 侵 害 的 过 程 、 使 用 的 工 
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有 具 等 。 

现场 搜查 中 发 现 的 书证 、 物 证 \ 电 子 数据 证 据 情况 ,包括 名 称 、 数 量 和 特征 等 。 与 案 发 现 
场 情况 是 否 能 够 一 一 对 应 ,或 者 作案 工具 痕迹 与 现场 是 否 一 致 

如 果 嫌 疑 人 已 经 将 作案 工具 丢弃 或 者 删除 ,是 否 有 找到 和 恢复 的 可 能 性 。 能 否 通过 对 
犯罪 过 程 重 建 \ 侦 查实 验 等 让 证 据 链 完整 。 这 些 都 是 需要 侦查 机 关 考 虑 的 问题 。 


6.3.4 收集 谋略 


网 络 线索 信息 收集 是 网 络 犯罪 侦查 谋略 基础 工作 中 重要 的 一 环 。 侦 查 人 员 必 须 通过 做 
好 网 络 线索 的 发 现 涉案 信息 的 收集 工作 ,才能 更 好 地 支持 侦查 。 在 以 上 各 类 线索 信息 收集 
过 程 中 应 注意 收集 工作 的 谋略 ,不 但 要 应 用 传统 的 各 种 侦查 措施 及 网 络 搜索 引擎 等 网 络 侦 
查 技术 ,还 要 应 用 各 种 收集 谋略 主动 出 击 ,收集 并 经 营 线索 。 

网 络 犯罪 案件 的 嫌疑 人 往往 警惕 性 较 高 、 反 侦察 意识 强 。 对 于 此 类 通过 伪装 方法 故意 
逃避 侦查 打击 的 网 络 犯罪 案件 线索 的 收集 工作 ,可 以 通过 主动 经 营 贴 靠 的 方法 来 开展 。 实 
际 上 无 论 是 在 网 上 交易 违禁 品 、 网 上 侵犯 著作 权 、 网 络 传播 淫秽 物品 ,还 是 从 事 网 络 传销 、 网 
络 赌 博 等 违法 犯罪 活动 ,犯罪 嫌疑 人 还 是 需要 在 网 上 特定 的 圈子 里 寻找 “顾客 "或 者 下 线 的 。 
办 案 人 员 可 以 通过 工作 中 积累 的 违法 犯罪 暗语 和 行 话 主动 与 寻找 “顾客 ?或 者 下 线 的 犯罪 嫌 
疑 人 联系 , 混 人 其 特定 的 网 上 圈子 中 。 通 过 潜伏 、 贴 靠 的 收集 谋略 长 期 经 营 , 深 入 侦察 ,获得 
嫌疑 人 的 信任 ,选择 符合 工作 需要 的 网 络 群 组 加 入 其 中 。 加 入 群 组 后 , 即 要 注意 适当 表现 ， 
向 群 组 中 的 创建 者 ,管理 员 、 活 跃 人 员 贴 靠 , 又 要 注意 不 要 过 度 活 跃 , 避 免 暴露 身份 被 踢 出 群 
组 。 在 线索 信息 收集 过 程 中 ,应 注意 收集 和 固定 网 络 群 组 内 的 违法 犯罪 证 据 , 同 时 分 析 研 判 
组 织 人 员 的 层级 结构 .角色 分 工 、 联 络 体系 等 组 织 信息 ,进而 摸 清 犯 罪 规 律 等 线索 情报 信息 ， 
支撑 案件 侦查 打击 工作 。 


6.4 线索 甄别 的 思路 


“人 过 留 痕 , 雁 过 留 声 。 "网 络 犯罪 案件 发 生 后 ,侦查 人 员 会 获得 大 量 信息 ,尤其 是 当今 大 
数据 时 代 , 对 获取 的 信息 进行 甄别 ,去 伪 存 真 , 留 下 可 以 作为 侦查 线索 和 法 庭 证 据 的 ,去 除 不 
实 的 .有 误 的 ,不 可 靠 的 信息 ,并 对 其 按照 类 别 进行 分 类 ,以 提高 线索 检索 的 效率 。 这 个 过 程 
称 为 线索 的 甄别 。 

一 般 网 络 犯罪 案件 线索 可 以 分 为 以 下 几 类 ; 

(1) 人 的 线索 ,包括 嫌疑 人 的 物理 身份 和 虚拟 身份 ,目的 是 利用 线索 勾勒 嫌疑 人 的 
画像 。 

(2) 行为 的 线索 ,包括 犯罪 的 时 间 、 方 法 和 习惯 方式 。 利 用 这 些 线索 判断 犯罪 动机 、 
目的 。 

(3) 物 的 线索 ,包括 涉案 工具 的 线索 ,赃款 .赃物 受 益 方 和 流通 渠道 的 线索 等 。 
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(4) 串 ,并 案件 的 线索 。 通 过 嫌疑 人 的 多 起 案件 进行 串 、 并 分 析 , 总 结 作案 时 间 、 方 法 等 
方面 的 规律 ,判断 其 下 一 步 作案 趋势 ,寻找 嫌疑 人 。 

在 侦查 工作 中 ,由 无 数 的 线索 、 事 实 、 细 节 和 准确 的 数据 构成 了 “侦查 链条 ”证 据 链 条 ”。 
这 就 要 求 所 使 用 的 事实 与 数据 一 定 要 准确 无 误 , 特 别 是 关键 部 位 的 支撑 材料 ,更 要 慎之 又 
慎 , 如 果 存 在 一 个 矛盾 项 ,哪怕 只 是 “ 拿 不 准 ”, 也 绝 不 能 放 过 ,因为 在 案件 侦查 中 ,尤其 是 网 
络 犯 罪 侦 查 中 ,尽管 只 是 一 个 不 准确 的 数据 ,也 有 可 能 造成 判断 的 失误 ,“ 差 之 毫 厘 , 廖 以 千 
里 ”, 由 量变 到 质变 ,就 会 走向 分 析 结 论 的 反面 。 在 案件 分 析 中 ,关键 证 据 链 中 犯罪 事实 的 不 
准 导 致 的 " 硬 伤 ” 往 往 是 致命 的 ,甚至 会 颠覆 侦查 人 员 于 精 竭 虑 所 得 出 的 分 析 结 论 。 

甄别 内 容 主 要 包括 人 、. 事 ( 案 )、 物 三 种 。 人 员 线 索 核 查 是 线索 甄别 的 重点 。 主 要 甄别 嫌 
疑 人 的 真实 身份 。 网 络 案件 会 对 应 网 络 世界 ,会 涉及 虚拟 身份 。 而 网 络 世 界 并 不 是 真 的 世 
外 桃源 ,必然 会 有 现实 中 人 的 操控 。 网 络 与 现实 是 对 应 的 。 而 虚拟 身份 也 不 是 真 的 虚无 妥 
缉 , 只 是 真实 生活 中 人 的 网 络 表现 形式 而 已 。 所 以 网 络 案件 中 的 人 、 事 ( 案 )、 物 都 是 对 应 现 
实 世 界 的 ,也 只 有 对 应 到 了 自然 人 、 事 ( 案 ) ,价值 才能 具备 破案 的 条 件 。 


6.5 线索 扩展 的 谋略 


网 络 犯罪 案件 线索 的 特点 是 电子 数据 线索 类 型 多 样 ,结构 复杂 ,线索 扩展 溯源 与 普通 案 
件 不 同 。 针 对 网 络 犯罪 案件 的 此 种 特点 ,侦查 工作 中 要 有 发 散 思 维 ,注意 按 线索 扩展 的 谋略 
展 相关 侦查 扩 线 工作 ,可 以 获得 更 多 的 信息 ,可 以 为 划 定 侦查 范围 .确定 侦查 方向 提供 更 
多 的 帮助 。 网 络 犯罪 线索 扩展 主要 举 两 个 例子 ， 


6.5.1 利用 用 户 名 扩 线 


通过 对 个 人 物理 身份 的 梳理 ,获得 身份 证 号 码 、 姓 名 昵称 、 手 机 号 码 等 。 利 用 其 注册 的 
用 户 名 和 昵称 进行 扩 线 侦查 , 发现 其 在 其 他 网 站 .论坛 .即时 通讯 工具 ,邮箱 上 的 蛛丝马迹 
(参见 图 6. 1) 。 

通过 搜索 引擎 检索 用 户 名 ,是 网 络 犯罪 案件 侦查 扩 线 一 个 必 不 可 少 的 环节 。 充 分 利用 
信息 技术 ,通过 公开 搜索 ,可 以 更 多 地 获得 与 案件 相关 的 信息 。 进 而 发 现 与 犯罪 嫌疑 人 个 人 
信息 或 者 用 户 名 相同 的 许多 虚拟 身份 ,例如 论坛 .博客 .空间 等 。 有 的 网 站 、 微 博 . 即 时 通讯 
群 组 不 支持 外 部 搜索 引擎 检索 ,但 是 提供 内 部 信息 搜索 。 如 果 有 必要 ,就 需要 到 这 些 社交 网 
站 注册 用 户 ,进一步 进行 检索 。 还 可 以 通过 用 户 名 、 了 昵称、 邮箱 发 现 是 否 注册 有 支付 宝 等 网 
上 支付 账户 。 

在 搜索 引擎 中 输入 关键 词 ,例如 “ 刘 浩 阳 ”, 系统 很 快 会 返回 查询 结果 ,这 是 最 简单 的 查 
询 方法 ,使 用 方便 .但 是 查询 的 结果 往往 太 多 ,可 能 包含 着 许多 无 用 的 信息 。 可 以 利用 搜索 
引擎 的 一 些 技巧 减少 无 用 的 查询 结果 。 例 如 给 关键 词 加 上 双 引 号 .可 以 实现 精确 查询 。 在 
关键 词 的 前 面 使 用 加 号 ,可 以 实现 多 个 关键 词 同 时 查询 等 。 
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如 果 网 站 或 者 应 用 中 同名 的 较 多 ,如 何 判断 哪个 才 是 犯罪 嫌疑 人 所 使 用 ? 一 般 网 站 或 
者 论坛 注册 用 户 名 时 ,如 果 有 同名 的 , 则 会 提示 在 用 户 名 后 面 加 上 数字 ,为 了 方便 记忆 ,注册 
人 往往 会 加 上 和 自己 相关 的 数字 ,例如 生日 .身份 证 号 ,电话 号 码 尾 数 或 者 纪念 日 。 侦 查 人 
员 可 以 利用 此 特点 ,依据 已 经 掌握 的 信息 来 判断 哪个 是 犯罪 嫌疑 人 所 使 用 的 。 


(AppleID) (电子 邮箱 ) (QQ ) 


(系统 账户 )- 《用 户 名 ) =( 微 信 ) 


人 微 博 ) ( 论坛 ) (网 游 


图 6.1 利用 用 户 名 扩 线 


6.5.2 通过 社会 关系 扩 线 


通过 经 常 联系 的 社会 关系 进行 扩 线 侦查 。 例 如 通过 社交 软件 中 的 好 友 关 系 , 发 现 其 经 
常 联系 的 群 组 ,个 人 关系 等 。 通 过 手机 通话 \ 短 信 清 单 发 现 经 常 联系 的 个 人 等 进行 扩 线 
侦查 。 

通过 家 庭 成 员 关 系 发 现 其 可 能 冒 用 的 其 他 身份 和 通讯 工具 。 例 如 在 追 逃 工作 中 ,一 项 
重要 任务 就 是 梳理 逃犯 的 亲属 关系 ,尤其 是 年 纪 相 仿 的 同性 亲属 的 身份 证 件 、 虚 拟 身份 是 否 
被 犯罪 嫌疑 人 冒 用 ,进而 逃避 打击 。 通 过 对 其 亲属 的 盯 控 ,起 到 事半功倍 的 作用 。 人 是 社会 
型 群居 高 级 动物 ,始终 脱离 不 开 亲情 、 友 情 和 爱情 的 制约 。 有 情 就 必然 有 联系 ,围绕 “ 情 ” 做 
工作 是 侦查 扩 线 很 好 的 途径 。 通 过 经 济 往来 发 现 其 合作 伙伴 或 者 同伙 。 通 过 对 网 上 和 网 下 
资金 账户 的 交易 往来 ,能 够 发 现 与 其 资金 频繁 往来 的 账户 ,从 而 达到 扩 线 侦查 的 目的 。 


6.6 ”侦查 途径 的 选择 


侦查 途径 是 指 在 侦查 过 程 中 查 明 事实 收集 证 据 , 认 定 捕获 嫌疑 人 时 所 遵循 的 路 径 。 按 
照 侦查 途径 的 不 同 , 传 统 刑事 案件 侦查 途径 可 以 分 为 “从 案 到 人 ”和 “从 人 到 案 ” 两 种 模式 。 
其 中 “从 案 到 人 ”是 指 从 犯罪 事实 开始 侦查 ,认定 捕获 嫌疑 人 并 证 明 犯 罪 事 实 ; 而 “从 人 到 
案 " 是 从 有 关 嫌 疑 人 为 侦查 起 点 ,通过 查证 线索 收集 证 据 ,进而 证 明 嫌疑 人 是 否 有 罪 。 在 网 
络 犯罪 侦查 中 ,由 于 网 络 犯 罪 的 网 络 虚拟 性 ,又 可 以 引申 出 * 从 现实 到 虚拟 "和 “从 虚拟 到 现 
实 ? 这 两 种 侦查 途径 。 任 何 一 起 刑事 案件 都 存在 若干 侦查 途径 ,而 受 案件 客观 条 件 制约 不 可 
能 每 条 侦查 途径 都 能 达到 侦查 终结 的 终点 ,甚至 一 些 侦查 途径 无 法 行 得 通 。 所 以 选择 侦查 
途径 是 解决 从 哪个 方面 开展 侦查 工作 的 问题 。 侦 查 途 径 选择 是 否 得 当 直 接 关 系 到 案件 侦查 


180 网 络 犯罪 侦查 


的 速度 与 成 败 。 
6.6.1 由 案 到 人 


从 案 到 人 的 侦查 思路 是 传统 的 侦查 方式 之 一 。 案 件 发 生 后 ,往往 加 害 人 是 未 知 的 ,需要 
根据 线索 分 析 和 判断 ,来 确定 嫌疑 人 ,这 是 典型 的 由 案 到 人 的 分 析 策略 。 由 案 到 人 的 分 析 策 
咯 主要 从 案件 的 基本 情况 ,包括 犯罪 动机 、 时 空 轨迹 等 方向 进行 分 析 判 断 ,最 终 获 得 嫌疑 人 
真实 身份 。 由 案 到 人 的 分 析 策略 的 优点 是 能 够 获得 嫌疑 人 的 完整 犯罪 过 程 , 可 以 形成 完整 
的 证 据 链 ,也 符合 传统 分 析 习 惯 。 缺 点 是 由 案 到 人 往往 不 能 适应 网 络 犯罪 的 高 节奏 性 ,线索 
容易 中 断 。 

1. 动机 分 析 方 法 

犯罪 动机 就 是 指 刺激 .促使 犯罪 人 实施 犯罪 行为 的 内 心 起 因 或 思想 活动 , 它 回答 犯罪 人 
基于 何 种 心理 原因 实施 犯罪 行为 , 故 动机 的 作用 是 发 动 犯罪 行为 ; 说 明 实 施 犯罪 行为 对 行 
为 人 的 心理 愿望 具有 什么 意义 。 

2， 时 空 轨 迹 分 析 

时 空 关系 对 于 案件 的 侦破 有 很 大 帮助 。 或 者 说 时 空 关 系 是 破获 案件 的 重要 依据 之 一 。 
犯罪 嫌疑 人 作为 物理 人 ,必然 要 有 行为 轨迹 ,例如 ,视频 监控 ,交通 信息 。 例 如 ,GPS 一 般 能 
够 记录 通过 导航 过 的 轨迹 信息 。 例 如 ,百度 地 图 。 监 控 卡 口 可 以 记录 车 辆 通过 时 的 相关 影 
像 ,包括 车 辆 信息 ,例如 车 辆 照片 ,牌照 .车辆 颜色 .车身 细节 特征 。 有 了 空间 的 信息 ,加 上 时 
间 信 息 , 可 以 判断 嫌疑 人 的 活动 范围 甚至 具体 位 置 。 

3. 行为 的 分 析 

人 的 习惯 往往 体现 在 行为 中 ,网 络 犯罪 也 不 例外 。 犯 罪 嫌疑 人 习惯 于 利用 熟悉 的 工具 ， 
利用 熟悉 的 入侵 方式 来 进行 犯罪 活动 。 通 过 对 嫌疑 人 的 习惯 进行 分 析 , 可 以 判断 嫌疑 人 的 
基本 情况 和 特征 。 

4. 转换 思路 的 分 析 

如 果 整 个 案件 中 ,没有 任何 蛛丝马迹 。 无 论 是 传统 物证 ,还 是 电子 数据 证 据 , 无 论 监控 、 
卡 口 ,还 是 指纹 .DNA, 都 没有 获取 任何 有 价值 线索 。 电 子 设备 中 也 没有 任何 痕迹 ,那么 内 
部 人 作案 可 能 性 就 会 上 升 ; 反 侦查 意识 如 此 强 ,技术 水 平 如 此 高 ,保卫 人 员 具 有 更 高 的 概 
率 。 这 就 是 对 于 分 析 的 分 析 。 


6.6.2 由 人 到 案 


如 果 说 由 案 到 人 是 事后 进行 网 络 犯罪 侦查 谋略 ,是 被 动 的 侦查 谋略 。 从 人 到 案 的 侦查 
谋略 完全 苏 覆 了 侦查 机 关 被 动 侦查 的 方式 ,是 主动 的 侦查 谋略 。 由 人 到 案 需 要 提前 对 网 络 
违法 犯罪 相关 人 进行 信息 的 收集 、 碰 撞 , 并 根据 这 些 信息 进行 分 析 。 

1. 重点 人 

据 国 外 有 关 资 料 统 计 , 有 犯罪 前 科 人 员 再 次 犯罪 可 能 性 大 致 在 40%。 对 有 犯罪 前 科 人 
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员 的 管理 并 预防 其 再 次 犯罪 是 一 种 谋略 。 有 网 络 犯罪 前 科 的 人 员 包 括 有 犯罪 预谋 、 准 备 的 
人 员 。 平 时 案件 查获 的 违法 犯罪 嫌疑 人 、 和 群众 举 报 的 违法 犯罪 嫌疑 人 ,监狱 .看守所 已 经 肛 
押 的 违法 犯罪 嫌疑 人 。 

对 重点 人 的 基本 特征 收集 整理 后 ,梳理 出 相关 人 员 的 网 络 特征 。 这 些 信息 在 以 后 发 生 
网 络 违法 犯罪 案件 后 ,与 利用 已 有 线索 进行 比 对 ,可 以 迅速 判断 嫌疑 人 。 

2. 高 危 人 群 

某 些 网 络 犯罪 现在 具有 明显 的 地 域 性 ,以 网 络 诈骗 犯罪 代表 。 比 如 福建 安溪 的 “冒充 公 
检 法 ”湖南 双 峰 的 “PS 诈骗 "以 及 广东 电 白 的 “ 猜 猜 我 是 谁 ? 等 。 

从 各 地 公安 机 关 侦 破 的 案件 来 看 , 双 峰 籍 . 电 白 籍 、 安 溪 籍 的 犯罪 嫌疑 人 占据 了 相当 一 
部 分 比例 。 例 如 2014 年 X 月 ,广东 警方 统一 行动 中 抓获 犯罪 嫌疑 人 286 名 ,其 中 相当 一 部 
分 为 电 白 籍 。2012 年 义 月 ,福建 省 长 泰 警方 在 漳州 市 一 举 端 掉 10 个 诈骗 窝点 ,抓获 42 名 
电信 诈骗 犯罪 嫌疑 人 , 均 为 安溪 籍 。 

可 以 对 这 些 案件 高 发 地 区 ,尤其 是 对 来 自 犯 罪 输 入 地 的 、 无 正当 职业 的 青 壮年 进行 防 
范 , 对 于 已 有 案件 的 侦查 有 重大 意义 。 

3. 犯罪 同伙 

一 般 团 伙 作 案 联 系 规律 为 : 事前 联系 、 事 中 作案 、 事 后 散 伙 ( 或 者 事后 一 起 逃逸 )。 按 照 
此 种 思路 分 析 , 符 合作 案 前 频繁 联系 ,作案 中 不 联系 或 者 很 少 联系 , 案 发 后 销声匿迹 这 样 的 
行为 特征 来 判断 团伙 。 


6.6.3 由 虚拟 到 现实 


网 络 的 匿名 性 是 网 络 最 重要 的 特点 之 一 ,但 是 网 络 的 匿名 性 却 给 网 络 犯罪 侦查 带 来 了 
诸多 不 便 。 在 现实 的 网 络 案件 侦查 中 ,更 多 的 时 候 需 要 将 网 络 中 的 虚拟 身份 对 应 到 现实 中 
的 真实 身份 。 

网 络 虚拟 身份 作为 客体 特征 特定 性 程度 不 高 , 仅 以 其 为 依据 所 作出 的 同一 认定 结论 确 
定性 程度 较 低 。 因 为 网 络 虚拟 身份 可 以 同 使 用 者 分 离 或 不 是 一 一 对 应 , 即 一 个 网 络 虚拟 身 
份 可 能 多 人 使 用 或 者 一 人 使 用 多 个 虚拟 身份 。 比 如 在 网 络 赌博 案件 中 ,一 个 赌博 网 站 的 代 
理 账 号 可 能 被 多 人 登录 使 用 , 既 可 能 是 为 赌博 网 站 担任 代理 接受 投注 的 人 员 , 也 可 能 是 赌博 
网 站 的 技术 维护 人 员 ,其 至 可 能 是 侵入 赌博 网 站 修改 投注 数据 的 黑客 。 在 抓 捕 嫌疑 人 时 ,一 
个 QQ 号 码 被 多 人 使 用 , 既 可 能 是 嫌疑 人 本 人 使 用 ,也 有 可 能 是 嫌疑 人 的 关系 人 受 人 委托 网 
上 “挂号 ”, 还 有 可 能 是 盗号 者 在 网 上 “ 洗 号 ”。 在 办 理 邪 教 组 织 犯 罪案 件 时 也 经 常会 遇 到 和 邪 
教 组 织 内 成 员 多 人 共用 一 个 电子 邮箱 传递 信息 的 情况 。 侦 查 人 员 依 据 网 络 虚 拟 身 份 进行 同 
一 认定 时 应 尽 可 能 地 获取 更 多 的 客体 特征 ,结合 案情 综合 分 析 才 可 做 出 同一 认定 的 结论 。 

在 司法 实践 中 类 似 上 述 客 体 网 络 特征 导致 同一 认定 结论 不 确定 的 情况 很 多 ,如 网 络 拨 
号 账号 与 承载 电话 不 绑 定 ,Wi-Fi 中 网 , 盗 接 上 网 线路 .服务 器 同一 漏洞 被 多 人 利用 侵入 等 
等 情况 。 虽 然 客体 的 网 络 特征 特定 性 程度 不 高 ,单个 特征 一 致 无 法 认定 客体 同一 ,但 从 两 个 


182 网 络 犯罪 侦查 


客体 之 间 的 网 络 特征 相同 可 以 判断 两 个 客体 相似 。 同 一 认定 也 可 以 看 作 是 一 个 由 相似 到 同 
一 的 渐进 过 程 。 在 比较 特征 的 过 程 中 ,每 增加 一 个 特征 ,就 等 于 增加 了 对 象 间 的 相似 程度 ， 
当 特 征 增 加 到 一 定 程度 时 ,量变 就 引起 了 质变 ,相似 就 转化 为 同一 .2 


6.6.4 由 现实 到 虚拟 


网 络 犯罪 侦查 中 ,不 但 总 是 由 虚拟 信息 关联 出 物理 信息 ,往往 也 要 从 物理 信息 关联 出 虚 
拟 信 息 。 比 如 嫌疑 人 的 一 个 虚拟 身份 关联 出 的 物理 信息 ,可 以 通过 这 个 物理 信息 再 次 关联 
虚拟 信息 。 

网 站 注册 实名 制 ,尤其 是 02O 应 用 会 要 求 填写 姓名 、 身 份 证 等 信息 ,可 以 反 查 虚拟 身 
份 。 尤 其 是 所 谓 的 “社工 库 ”, 可 以 反 查 出 大 量 的 虚拟 身份 。 例 如 中 国 铁路 总 公司 12306 网 
站 个 人 信息 泄露 事件 中 ,泄露 的 数据 包括 网 站 用 户 名 、 身 份 证 号 码 . 电 话 号 码 等 个 人 信息 。 


6.7 询问 和 讯问 的 谋略 


6.7.1 询问 的 谋略 


网 络 犯罪 侦查 询问 ,是 侦查 人 员 为 了 了 解 被 害 情况 . 查 明 犯罪 后 果 ,依法 对 被 害 人 或 者 
相关 人 员 进 行 查询 的 一 种 侦查 活动 。 网 络 犯罪 的 媒介 依托 网 络 , 加 害 人 与 被 害 人 不 谋面 。 
询问 时 ,不 会 像 传统 案件 ,被 害 人 对 加 害 人 有 直观 的 印象 。 同 时 网 络 犯罪 案件 类 型 多 样 , 讯 
问 的 方式 方法 也 不 尽 相同 。 主 要 从 犯罪 后 果 、 被 害 人 的 行为 和 知情 人 信息 三 方面 进行 询问 : 

(1) 犯罪 后 果 。 犯 罪 后 果 的 严重 程度 ,决定 了 案件 的 性 质 。 以 网 络 为 目的 的 犯罪 活动 ， 
重点 围绕 “数据 流 ”, 包 括 网 站 的 受 损 情 况 ,数据 的 丢失 情况 和 功能 被 破坏 情况 。 以 网 络 为 媒 
介 的 犯罪 活动 ,重点 围绕 “资金 流 ”, 即 资金 的 损失 情况 。 

(2) 被 害 人 的 行为 。 网 络 犯罪 往往 是 利用 被 害 人 的 行为 漏洞 进行 犯罪 活动 的 。 例 如 ， 
网 络 防护 不 强 , 弱 口令 漏洞 ,或 者 未 安装 杀毒 软件 。 应 当 围绕 被 害 人 的 行为 ,查找 有 无 反常 
之 处 ,例如 ,下 载 执行 不 明 的 文件 。 

(3) 知情 人 信息 。 网 络 犯罪 活动 并 不 意味 着 是 秘密 进行 的 ,往往 还 有 知情 人 ,例如 ,第 
三 方 支付 平台 ICP 嫌疑 人 的 合作 伙伴 。 这 些 人 对 于 犯罪 行为 不 一 定 知 情 , 但 是 犯罪 行为 
的 涉及 者 。 所 作 所 为 直接 关联 到 案件 ,对 案件 的 定性 和 侦破 有 着 重要 作用 。 对 于 知情 人 ,应 
当 围 绕 与 嫌疑 人 或 被 害 人 的 接触 情况 ,例如 转账 情况 .服务 器 租用 情况 进行 询问 。 


6.7.2 讯问 的 谋略 
网 络 犯罪 侦查 讯问 是 侦查 人 员 为 了 证 实 网 络 犯罪 ` 查 明 犯 罪人 :依法 对 犯罪 嫌疑 人 进行 
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审讯 和 请 问 的 一 种 侦查 活动 ,是 案件 调查 和 收集 证 据 的 重要 途径 。 讯 问 犯 罪 嫌 疑 人 必须 由 
人 民 检 察 院 或 者 公安 机 关 的 侦查 人 员 负 责 进行 。 讯 问 的 时 候 , 侦 查 人 员 不 得 少 于 二 人 9。 
讯问 往往 对 于 案情 的 了 解 ,线索 的 获取 有 着 重要 作用 。 网 络 犯罪 的 特殊 性 使 得 讯问 不 是 简 
单 的 一 问 一 答 , 而 是 具有 相当 的 技巧 性 和 谋略 性 。 

1. 做 好 预案 

网 络 犯罪 活动 主要 在 网 上 进行 .没有 传统 犯罪 的 物理 现场 。 嫌 疑 人 利用 虚拟 身份 从 事 
犯罪 活动 ,隐蔽 性 强 . 证 据 关联 程度 低 。 切 忌 迷 信 自 己 的 讯问 技巧 ,直接 盲目 地 进行 讯问 。 
讯问 前 应 当 配备 了 解 案情 和 技术 专长 的 侦查 人 员 , 根 据 被 讯问 人 的 计算 机 水 平 , 制 定 讯问 

2. 重视 第 一 次 讯问 
犯罪 嫌疑 人 在 抓获 初期 ,往往 不 知 所 措 , 处 于 恺 慌 的 状态 。 根 据 犯罪 嫌疑 人 尚未 构筑 心 
理 防御 体系 的 良好 时 机 ,及 时 开展 第 一 次 讯问 ,争取 突破 心理 防线 。 第 一 次 讯问 要 及 时 、 有 
目的 性 。 一 般 12 小 时 内 为 讯问 的 “黄金 时 间 ”。 讯 问 人 员 在 讯问 预案 的 基础 上 ,通过 与 犯罪 
嫌疑 人 的 交谈 ,及 时 发 现 线索 、 固 定 证 据 , 抓 捕 同 案犯 ,发现 新 的 侦查 线索 和 犯罪 事实 。 
3. 重视 勘 验 取证 
对 于 现场 获取 的 书证 、 物 证 和 电子 数据 等 相关 证 据 , 要 迅速 组 织 人 力 进行 梳理 。 网 络 犯 
罪 嫌疑 人 的 县 罪 心理 主要 建立 在 计算 机 技术 自信 的 基础 上 ,往往 认为 侦查 人 员 的 计算 机 水 
平 没 有 他 高 。 这 也 是 侦查 讯问 的 重点 也 是 难点 。 在 了 解 前 期 情况 的 基础 上 ,讯问 前 侦查 人 
员 应 对 嫌疑 人 计算 机 设备 .服务 器 .手机 通信 、 网 络 即时 通讯 .网 上 银行 和 第 三 方 支付 平台 资 
金 往 来 等 情况 进行 勘 验 分 析 , 尽 可 能 多 地 掌握 嫌疑 人 与 案件 相关 的 线索 情况 。 

可 以 在 审讯 同时 ,编制 取证 组 和 审讯 组 。 根 据 前 期 情况 同步 开展 勘 验 、 分 析 ,与 审讯 组 
保持 信息 互通 、 相 互 策应 ,以 审讯 促 取证 ,以 取证 促 审 讯 ,达到 事实 查 清 \ 证 据 取 足 的 目的 。 

4. 选 准 讯问 突破 口 

在 做 到 “知己 知 彼 ” 的 基础 上 ,根据 掌握 的 网 络 犯罪 的 时 间 、 地 点 、 人 物 、 情 节 、 手 段 、 工 
具 、 目 的 \` 动 机、 后 果 等 基本 要 素 ,选择 案件 中 的 关键 人 物 进行 突破 。 在 讯问 过 程 中 ,应 有 意 
识 地 让 嫌疑 人 尽量 具体 .详细 .明确 地 陈述 ,从 中 注意 发 现 嫌疑 人 口供 与 物证 .口供 与 电子 证 
据 的 矛盾 之 处 ,适当 时 机 进行 点 破 , 以 达到 打破 犯罪 嫌疑 人 心理 上 技术 优势 的 作用 。 

注意 ,讯问 过 程 中 不 要 让 嫌疑 人 掌握 主动 ,侦查 人 员 不 掌握 的 内 容 不 要 主动 发 问 , 对 于 
复杂 的 网 络 犯罪 行为 ,可 以 让 嫌疑 人 进行 顺序 供述 .了 解 其 犯罪 手段 和 过 程 ,查找 矛盾 之 处 ， 
证 明 其 犯罪 事实 。 

5. 善于 利用 矛盾 

全 面 分 析 案 情 , 研 究 同 案犯 直接 的 联系 ,获取 和 制造 矛盾 ,从 而 分 化 瓦解 .各 个 击破 。 

在 已 掌握 部 分 事实 的 基础 上 .对 同 案 犯 讯 问 时 , 巧 用 模糊 、 双 关 语 ,点 出 案件 相关 细节 ， 


台 《中 华人 民 共 和 国 刑事 诉讼 法 ) 第 一 百 一 十 六 条 。 
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让 嫌疑 人 感觉 其 他 同 案 人 已 交代 ,进而 选择 坦白 从 宽 道路 、 表 现 主动 承认 态度 ,促使 嫌疑 人 
争 相 供述 。 在 此 基础 上 ,再 对 已 供述 的 嫌疑 人 进行 二 次 讯问 ,以 确定 事实 和 获取 新 的 线索 。 
6. 及 时 固定 证 据 

网 络 犯罪 的 电子 数据 证 据 是 证 明 犯 罪行 为 的 最 重要 的 证 据 , 但 是 也 具有 易 灭 失 的 特点 。 
为 防止 证 据 灭失 ,在 审讯 的 同时 ,取证 人 员 应 根据 交代 线索 立即 提取 、 固 定 证 据 , 可 以 采取 搜 
查 扣 押 、 现 场 勘 验 .远程 勘 验 ,照相 摄像 等 方式 固定 证 据 。 

日 于 网 络 犯罪 行为 的 虚拟 性 ,在 侦查 讯问 质量 不 高 的 时 候 , 一 旦 错过 讯问 的 黄金 时 间 ， 
网 络 犯罪 嫌疑 人 往往 容易 翻供 。 这 是 因为 侦查 员 的 侦查 策略 不 符合 实际 情况 、 侦 查 技术 技 
巧 落后 ,没有 在 讯问 中 有 效 地 突破 嫌疑 人 的 心理 防线 ,更 没有 及 时 的 固定 证 据 , 提 供 新 的 线 
索 , 这 时 候 的 心理 天 平 已 经 倾向 于 嫌疑 人 。 因 此 ,网 络 犯罪 侦查 讯问 应 当做 到 预案 充分 、 讯 
问 有 针对 性 和 证 据 固定 充分 。 


6.8 本 章 小 结 


侦查 谋略 是 一 本 写 不 完 的 书 ,网 络 作为 高 技术 的 新 兴 事 物 , 对 传统 的 侦查 谋略 也 提出 了 
新 的 挑战 ,传统 的 由 案 到 人 的 侦查 谋略 在 网 络 时 代 已 经 不 具有 先进 性 ,虚实 对 应 、 虚 虚 对 应 
的 转换 ,将 对 今后 的 侦查 谋略 提出 更 大 的 挑战 。 如 何 配合 网 络 侦查 技术 建立 网 络 侦查 谋略 
的 理论 ,并 应 用 于 实践 中 ,是 网 络 犯罪 侦查 的 重要 的 任务 。 


思 考 题 


。 简 述 侦查 谋略 的 定义 。 
. 简 述 侦查 谋略 的 原则 。 
. 简 述 案情 线索 信息 的 收集 谋略 。 
. 网 络 犯罪 案件 线索 可 以 分 为 哪 几 类 ? 
. 嫌疑 人 线索 信息 如 何 收集 ? 
。 简 述 利用 用 户 名 扩 线 的 方法 。 
.。 简 述 由 案 到 人 的 侦查 途径 。 
. 简 述 由 虚拟 到 现实 的 侦查 途径 。 
。. 简 述 讯问 的 谋略 。 
10. 2016 年 4 月 1 日 . 某 政府 网 站 被 黑客 入 侵 . 数 据 被 算 改 ,根据 管理 员 所 称 , 系 统 防护 
等 级 较 高 ,请 以 思维 导 图 的 形式 ,阐述 侦查 思路 。 


oT 人 wi- 
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本 章 学 习 目标 

。 网 络 侦查 技术 的 概念 和 原理 

。 网 络 数据 搜集 技术 的 原理 和 应 用 
。 网 络 数据 关联 技术 的 原理 和 应 用 
。 网 络 数据 分 析 技 术 的 原理 和 应 用 
。 噢 探 分 析 技 术 的 原理 和 应 用 

。 日 志 分 析 技 术 的 原理 和 应 用 

。 电子 邮件 分 析 技 术 的 原理 和 应 用 
。 数据 库 分 析 技术 的 原理 和 应 用 
。 路 由 器 分 析 技术 的 原理 和 应 用 
。 渗透 技术 的 原理 和 应 用 

。 社会 工程 学 的 理论 和 应 用 

。 恶意 软件 的 逆向 分 析 原 理 和 应 用 
。 密码 破解 技术 的 应 用 


网 络 好 比 犯罪 现场 ,一 条 条 数据 就 好 比 一 个 个 足迹 和 指纹 ,要 通过 分 析 , 获 取 犯 罪 嫌 疑 
人 留 下 的 蛛丝马迹 ,以 梳理 出 侦查 线索 、 固 定 犯罪 证 据 。 网 络 侦查 技术 是 网 络 犯罪 侦查 的 
“武器 ”, 只 有 技 高 一 筹 , 才 能 在 网 络 犯罪 战场 的 较量 中 占据 上 风 。 长 期 以 来 ,网 络 侦查 技术 
由 于 涉及 面 广 、 技 术 难 度 高 ,在 网 络 犯 罪 侦 查 人 员 中 普及 程度 不 够 ,直接 影响 到 网 络 犯 罪 的 
打击 效果 。 本 章 将 从 具体 操作 入 手 , 讲 解 网 络 犯罪 侦查 技术 。 


7.1 网 络 侦查 技术 概述 


7.1.1 网 络 侦查 技术 的 概念 


侦查 技术 是 侦查 机 关 在 侦查 活动 中 ,按照 法 律 的 规定 ,运用 现代 科学 技术 的 理论 和 方 
法 ,以 发 现 . 记 录 、 提 取 、 识 别 和 鉴定 与 案件 有 关 的 各 种 线索 和 证 据 的 专门 技术 的 总 称 。 侦 查 
技术 是 侦查 工作 的 重要 组 成 部 分 。 传 统 的 侦查 技术 有 法 医 、 痕 迹 检验 .DNA 等 。 
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传统 侦查 技术 不 仅 由 侦查 机 关 使 用 ,而 且 相 当 部 分 也 用 于 民用 。 网 络 技术 的 公开 性 使 
得 网 络 侦查 技术 更 具有 开放 人 性。 网 络 侦查 技术 是 利用 计算 机 、 网 络 .通信 等 高 科技 的 公开 技 
术 , 有 针对 性 地 形成 打击 网 络 犯罪 的 相关 技术 和 方法 的 科学 技术 。 网 络 侦查 技术 偏重 于 网 
络 技术 原理 与 侦查 实际 操作 相 结 合 ,目的 是 打击 犯罪 。 


7.1.2 网 络 侦查 技术 的 原理 


侦查 技术 基于 物质 交换 (转移 ) 原 理 D。 物 质 交换 (转移 ) 原 理 认为 ,“ 两 个 对 象 接触 时 ， 
物质 会 在 这 两 个 对 象 之 间 产 生 交 换 或 者 转移 。 例 如 犯罪 现场 留 下 的 指纹 .足迹 ,作案 工具 痕 
迹 以 及 因 搏 斗 造 成 的 咬 痕 、 抓 痕 等 ”。 

物质 交换 (转移 ?原理 是 基于 传统 侦查 总 结 出 的 为 中 外 认可 的 经 典 理论 ,已 经 沿用 了 近 
百年 。 但 是 网 络 犯罪 毕竟 是 一 种 发 生 在 虚拟 空间 的 新 型 的 犯罪 形式 ,也 是 在 这 一 理论 建立 
后 产生 的 ,那么 物质 交换 (转移 ) 理 论 是 否 还 适用 于 网 络 犯罪 领域 呢 ? 理论 研究 和 实践 发 现 ， 
犯罪 过 程 中 嫌疑 人 使 用 的 电子 设备 与 被 害 者 使 用 的 电子 设备 、 网 络 之 间 的 电子 数据 也 存在 
相互 交换 : 一 方面 嫌疑 人 会 获取 被 害 人 的 电子 数据 ; 另 一 方面 被 害 人 的 计算 机 设备 中 也 会 
留 下 嫌疑 人 的 电子 “痕迹 ”。 这 些 电子 数据 或 “痕迹 ?都 是 自动 转移 或 交换 的 结果 ,不 受 人 为 
控制 ,不 仅 保存 于 作为 犯罪 工具 的 计算 机 与 处 于 被 害 地 位 的 计算 机 中 ,而 且 在 登录 所 途经 的 
有 关 网 络 节点 中 也 有 保留 。 它 们 在 实质 上 属于 转移 或 交换 的 结果 ,因此 从 本 质 上 ,适用 于 物 
质 交换 (转移 ) 原 理 。 但 是 由 于 表现 为 二 进 制 代码 的 数字 形式 ,不 可 为 人 所 直接 感知 。 


7.1.3 网 络 侦查 技术 与 网 络 技术 侦查 措施 的 区 别 


很 多 人 认为 网 络 犯罪 侦查 工作 主要 依赖 网 络 技术 侦查 措施 ,或 者 将 二 者 混为一谈 ,这 是 
一 种 廖 误 。 网 络 犯罪 侦查 技术 与 网 络 技术 侦查 措施 相 比 ,虽然 二 者 都 是 基于 计算 机 技术 、 网 
络 技术 .通信 技术 等 高 科技 技术 ,但 却 有 截然 不 同 之 处 ,不 能 相提并论 。 

1. 工作 性 质 不 同 

网 络 技术 侦查 措施 是 通过 特定 的 技术 设备 或 高 科技 手段 的 特殊 侦查 行为 ,其 实施 过 程 
需要 秘密 进行 。 而 网 络 犯罪 侦查 技术 都 是 由 网 络 技术 升华 和 提炼 而 来 的 ,从 根本 上 依托 的 
是 网 络 技术 ,这 些 技术 在 原理 和 应 用 上 都 是 公开 的 。 

2. 应 用 范围 不 同 

网 络 侦查 技术 贯穿 于 整个 网 络 侦查 过 程 , 网 络 侦查 的 特殊 性 ,决定 了 技术 在 侦查 环节 中 
的 普遍 应 用 ,利用 的 是 公开 技术 .针对 的 是 公开 数据 。 网 络 技术 侦查 措施 是 在 法 律 的 严格 限 
定 下 ,依法 依 规 利用 技术 装备 和 高 科技 手段 进行 工作 的 侦查 措施 。 


中 ”物质 交换 (转移 ) 原 理 是 由 法 国 侦查 学 家 ,证 据 专 家 埃 德 蒙 。 洛 卡 德 (Edmond Locard) 在 20 世纪 初 提出 , 故 也 被 
称 作 治 卡 德 交换 (转移 ) 原 理 (Locard Exchange Principle) 。 物 质 交换 (转移 ) 原 理 现 已 成 为 各 国 公认 的 侦查 学 与 证 据 学 的 
著名 理论 。 
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3. 使 用 权限 不 同 

网 络 侦查 技术 是 网 络 知识 的 提炼 ,可 供 具 有 一 定 计算 机 知识 的 侦查 人 员 使 用 ,是 必 备 技 
能 ,具有 普及 性 ; 网 络 技术 侦查 措施 是 国家 强制 力 的 体现 ,权限 限定 为 经 过 审批 的 专门 技术 
侦查 人 员 使 用 .具有 专门 性 。 


7.1.4 网 络 侦查 技术 分 类 


按照 网 络 侦查 技术 在 网 络 犯罪 侦查 过 程 中 的 应 用 方向 ,网 络 侦查 技术 分 为 以 下 3 类 ， 

(1) 网 络 数据 搜集 技术 ; 

(2) 网 络 数据 关联 技术 ; 

(3) 网 络 数据 分 析 技 术 。 

本 章 将 按照 这 3 类 网 络 侦查 技术 展开 益 述 。 其 中 ,网 络 数据 的 分 析 技术 ,具有 众多 的 分 
支 。 在 本 章 中 , 仅 就 重点 关注 的 加 以 介绍 。 


7.2 网 络 数据 搜集 技术 


7.2.1 网 络 数 据 搜集 概述 


《中 华人 民 共 和 国 网 络 安全 法 (草案 )) 中 将 “网 络 数据 ”的 定义 为 “通过 网 络 收集 、 存 储 、 
传输 、 处 理 和 产生 的 各 种 电子 数据 ”。 

网 络 数据 的 搜集 ,关联 和 分 析 , 是 网 络 犯罪 案件 侦查 工作 的 特有 组 成 部 分 ,对 网 络 犯罪 
案件 侦破 起 着 决定 性 的 作用 。 网 络 数据 搜集 是 网 络 数据 关联 和 网 络 数据 分 析 之 “ 源 ”。 通 过 
搜集 、 处 理 和 分 析 网 络 数据 ,可 以 发 现 侦查 线索 ,为 案件 的 侦办 指明 侦查 的 方向 ; 通过 搜集 、 
处 理 和 分 析 网 络 数据 ,可 以 固定 与 案件 有 关 的 证 据 。 

网 络 犯罪 侦查 工作 中 ,网 络 数据 的 来 源 非常 广泛 ,数据 类 型 多 样 。 网 络 数据 可 以 分 为 结 
构 化 数据 和 非 结构 化 数据 两 类 ,结构 化 数据 是 能 够 用 统一 的 结构 加 以 表示 的 数据 ; 如 数据 
库 数 据 ; 非 结构 化 数据 是 无 法 用 统一 的 结构 表示 的 数据 ,如 图 像 声音、 网 页 等 。 非 结构 化 
数据 要 进行 结构 化 或 者 数据 分 析 后 才能 在 侦查 工作 中 使 用 。 

网 络 数据 搜集 针对 的 是 结构 化 和 非 结 构 化 数据 , 它 并 不 对 数据 进行 清洗 ,重点 是 将 不 同 
格式 的 数据 存储 起 来 ,具体 的 清洗 和 分 析 工 作 交 由 数据 关联 和 数据 分 析 完 成 。 网 络 数据 搜 

1) 利用 网 络 获 取 技 术 搜集 数据 

网 络 数据 获取 技术 主要 分 为 被 动 和 主动 两 种 方式 。 利 用 DNS 欺骗 、 会 话 支持 ,渗透 是 
主动 获取 方式 ,而 通过 镜像 .分 光 、 嗅 探 等 对 网 络 数据 包 进行 分 析 是 被 动 方式 。 

2) 利 用 网 络 追踪 技术 搜集 数据 

针对 和 利用 互联 网 进行 的 违法 犯罪 活动 中 产生 的 数据 ,主要 留存 于 互联 网 上 。 互 联网 
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的 公开 性 使 其 成 为 网 络 数据 分 析 的 数据 来 源 。 对 于 互联 网 公开 的 数据 ,利用 网 络 追踪 技术 
搜集 的 数据 ,可 以 为 侦查 提供 重要 线索 和 证 据 。 


7.2.2 网 络 数 据 编码 与 解码 


1. 字 节 顺序 

网 络 数据 传输 并 不 是 明文 传输 的 。 网 络 数据 通常 通过 编码 后 进行 发 送 ,而 编码 的 前 提 
是 字 节 顺序 了, 因此 解码 必须 知道 其 字 节 顺序 后 才能 对 其 进行 解码 。 不 幸 的 是 ,计算 机 系统 
并 没有 采用 统一 的 字 节 顺序 和 编码 方式 。 当 计算 机 系统 存储 和 传输 数据 时 ,不 同 的 字 节 顺 
序 对 于 数据 重组 将 是 一 个 问题 。 例 如 ,截获 网 络 传输 的 信息 ,可 能 只 截获 了 中 间 一 部 分 信 
息 , 这 时 候 ,就 有 必要 知道 字 节 顺序 ,才能 进行 解码 。 

字 节 顺序 问题 的 实质 是 计算 机 系统 对 于 多 字 节 的 表现 方式 。 一 个 基本 存储 单元 可 以 保 
存 一 个 字 节 ,每 个 存储 单元 对 应 一 个 地 址 。 对 于 大 于 十 进 制 255( 十 六 进 制 0xFF) 的 整数 ， 
需要 多 个 存储 单元 。 例 如 “ 汉 ” 字 的 Unicode 编码 是 0x6C49 ,需要 两 个 字 节 。 不 同 的 计算 机 
系统 使 用 不 同 的 方法 保存 这 两 个 字 节 。 常 用 的 PC 中 ,低位 字 节 0x49 保存 在 低地 址 的 存储 
单元 ,高 位 字 节 0x6C 保存 在 高 地 址 的 存储 单元 ; 而 在 Sun 工作 站 中 ,情况 恰恰 相反 ,0x49 
位 于 高 地 址 的 存储 单元 ,0x6C 位 于 低地 址 的 存储 单元 。 前 一 种 被 称 为 小 端 (little endian)， 
后 一 种 就 是 大 端 (big endian), 见 表 7.1。 大 端 和 小 端 是 CPU 处 理 多 字 节 数 的 不 同方 式 。 
那么 数据 传输 时 ,究竟 是 将 6C 放 在 前 面 , 还 是 将 49 放 在 前 面 ? 如 果 将 0x49 放 在 前 面 , 就 
是 小 端 ; 若 将 0x6C 放 在 前 面 ,就 是 大 端 。 


表 7.1 大 端 和 小 端 字 节 排序 


字 节 排序 含义 
大 端 一 个 Word 中 的 高 位 字 节 放 在 内 存 中 这 个 Word 区 域 的 低地 址 处 
小 端 一 个 Word 中 的 低位 字 节 放 在 内 存 中 这 个 Word 区 域 的 低地 址 处 


网 络 数 据 传 输 是 在 将 数据 编码 后 ,按照 特定 的 字 节 顺序 以 数据 包 的 形式 发 送 ; 接收 则 
是 按照 相同 的 字 节 顺序 进行 解码 , 方 能 获得 正确 信息 。 字 节 顺 序 是 隐蔽 在 应 用 程序 之 下 的 ， 
由 于 应 用 程序 在 读 取 数 据 之 后 会 将 字 节 顺序 转变 为 指定 的 形式 展现 给 用 户 , 用 户 并 不 知道 
具体 的 字 节 顺序 。 不 同 的 应 用 和 协议 定义 的 字 节 顺序 是 不 同 的 ,一 般 说 来 ,网 络 数据 传输 大 
多 使 用 大 端 字 节 顺序 。 但 是 尽管 如 此 ,多 种 网 络 应 用 的 存在 ,使 得 网 络 犯罪 侦查 人 员 必 须 了 
解 字 节 顺序 。 

2. 编码 与 解码 

1) 编码 

字符 必须 编码 后 才能 被 计算 机 处 理 。 计 算 机 使 用 的 默认 编码 方式 称 为 计算 机 的 内 码 。 


外 ” 刘 浩 阳 . 字 节 顺序 在 计算 机 取证 中 的 应 用 . 警察 技术 ,2012(2) : 43-45 
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早期 的 计算 机 使 用 7 位 ASCII 编码 作为 系统 内 码 ,ASCII 字符 编码 标准 主要 是 为 英语 语系 
到 家 制定 的 ,无 法 处 理 亚洲 国家 的 文字 体系 。 亚 洲 各 国 根据 本 国 实际 情况 分 别 设计 了 相应 
的 字符 编码 标准 。 在 ANSI 码 的 基础 上 设计 了 符合 本 国 实际 情况 的 字符 编码 集 , 以 能 够 处 
理 大 数量 的 象形 字符 ,这 些 编码 使 用 单字 节 表 示 ANSI 的 英文 字符 ( 即 兼 容 ANSI 码 ); 使 
用 双 字 节 表 示 汉 字 字 符 。 例 如 ,用 于 简体 中 文 的 GB2312 和 用 于 繁体 中 文 的 BIG5。 网 络 数 
据 传输 多 使 用 Unicode、UCS 和 UTEF 编码 。 

2) 解码 

相同 字 节 顺序 的 前 提 下 , 当 编 码 和 解码 能 够 统一 的 时 候 , 信 息 是 可 以 交换 和 被 理解 的 ; 
相反 , 当 信息 编码 和 解码 不 能 够 统一 的 时 候 , 信 息 就 不 能 被 交换 和 理解 ,这 就 是 “乱码 ”。 乱 
码 的 产生 是 信息 编码 和 解码 不 能 够 统一 的 结果 ,因此 ,解决 乱码 的 过 程 就 是 找到 与 编码 统一 
的 解码 方法 ,并 对 机 器 不 能 全 自动 进行 适当 解码 的 信息 进行 重新 处 理 和 解码 ,使 得 信息 可 以 
被 理解 和 交换 。 解 码 可 以 通过 以 下 方式 进行 。 

(1) 通过 编码 标准 识别 。 

为 了 接收 字 节 流 时 能 正确 识别 编码 ,很 多 情况 下 发 送 字 节 流 的 同时 会 把 字 节 流 对 应 的 
编码 发 送 给 接收 方 ,这 种 情况 可 以 理解 为 发 送 和 接收 双方 的 约定 。HTTP 协议 就 有 这 样 的 
约定 ,浏览 器 就 是 通过 约定 来 识别 网 页 的 编码 。 例 如 ,打开 一 个 HTML 文件 ,在 开头 有 关 
于 字符 编码 的 约定 : 


<meta http—equiv= "Content-Type" content= "text/html; charset= UTF-8"> 


邮件 客户 端 程序 也 是 通过 上 述 约定 识别 字符 的 ,在 邮件 的 头 部 有 Charset 的 声明 。 

(2) 通过 特定 字符 识别 。 

UTF-8 以 字 节 为 编码 单元 ,没有 字 节 顺序 问题 。UTF-16 和 UTF-32 都 有 字 节 顺序 问 
题 ,例如 在 解码 一 个 UTF-16 文本 前 ,需要 了 解 每 个 编码 单元 的 字 节 顺序 。 例 如 “ 奎 ”的 
Unicode 编码 是 594E,“ 乙 ”的 Unicode 编码 是 4E59。 如 果 收 到 UTF-16 字 节 流 “594E”, 那 
么 这 是 “ 奎 ”还 是 “ 乙 ”? 

Unicode 规范 中 推荐 的 标记 字 节 顺序 的 方法 是 BOM(Byte Order Mark) 。 在 UCS 编码 
中 有 一 个 叫 作 *ZERO WIDTH NO-BREAK SPACE” 的 字符 , 它 的 编码 是 FEFF。 而 FFFE 
在 UCS 中 是 不 存在 的 字符 ,所 以 不 应 该 出 现在 实际 传输 中 。UCS 规范 建议 在 传输 字 节 流 
前 , 先 传输 字符 “ZERO WIDTH NO-BREAK SPACE”。 这 样 ,如 果 接 收 者 收 到 FEFF, 表 明 
这 个 字 节 流 是 大 端的 ; 如 果 收 到 FFFE, 就 表明 这 个 字 节 流 是 小 端的 。 因 此 ,字符 “ZERO 
WIDTH NO-BREAK SPACE” 又 被 称 作 BOM 。 

UTF-8 不 需要 BOM 表明 字 节 顺序 ,但 可 以 用 BOM 表明 编码 方式 。 字符“ZERO 
WIDTH NO-BREAK SPACE” 的 UTF-8 编码 是 EF BB BF。 所 以 ,如 果 接 收 者 收 到 以 EF 
BB BF 开头 的 字 节 流 ,就 知道 这 是 UTF-8 编码 了 。 

除 此 之 外 ,GB2312 的 高 字 节 和 低 字 节 的 第 1 位 都 是 1。BIG5、GBK 和 GB18030 的 高 
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字 节 的 第 1 位 为 1。 通 过 判断 高 字 节 的 第 1 位 可 以 知道 是 ASCII 或 者 汉字 编码 。 

(3) 通过 编码 规律 识别 。 

解码 时 需要 注意 编码 方式 ,才能 正确 解码 。 对 于 URL 编码 ,永远 是 “URL 十 % 字 符 起 
始 ” 的 。 例 如 ,访问 URL: http://www. google. cn/search? q 一 %D1%A7%CF%Bo, 也 会 
看 到 错误 结果 。“%D1%A7%CF%B0” 是 GBK 编码 的 “学 习 ”,Google 默认 使 用 UTF-8 编 
码 , 在 遇 到 这 个 URL ,会 将 其 进行 UTF-8 编码 。 从 某 种 意义 上 讲 , 供 识别 的 字符 串 越 长 ,出 
现 这 种 识别 错误 的 概率 就 越 低 。 而 邮件 的 base64 编码 ,一 般 是 以 “十 六 进 制 编码 ”十 “==” 
结束 。 

(4) 工具 自动 识别 。 

大 多 数 的 分 析 工 具 能 够 自动 或 者 指定 字符 集 解码 ,以 达到 可 视 化 的 目的 。 但 是 ,并 不 是 
所 有 编码 都 能 够 自动 识别 。 很 多 情况 下 ,还 需要 人 工 判断 ,甚至 手动 解码 。 在 分 析 中 常用 的 
解码 工具 有 “乱码 察看 器 ”MultiEndecode 等 。 


7.2.3 网 络 数 据 获取 技术 


对 于 普通 网 络 用 户 而 言 ,无 须 关 心 数据 包 是 如 何 封装 、 传 输 、 加 密 的 ,只 需要 稳定 、 安 全 
的 网 络 传输 渠道 ,满足 互联 网 时 代 的 生产 ,生活 需 求 。 但 对 于 网 络 犯罪 侦查 人 员 而 言 ,网 络 
数据 包 的 获取 可 以 发 现 目 标 网 站 的 传输 方式 .敏感 字段 信息 ,犯罪 嫌疑 人 网 络 活动 行为 方式 
等 重要 信息 。 如 对 某 一 款 木 马 程序 进行 分 析 时 ,可 以 在 运行 木马 程序 后 ,通过 监听 目标 网 
卡 ,发现 木马 向 主 控 端 服务 器 发 出 的 请 求 服务 ,进而 获取 服务 器 的 IP 地 址 .开放 端口 ,用户 

中 间 人 劫持 (Man-in-the-Middle Attack, MITM) 是 一 种 由 来 已 久 的 网 络 劫持 技术 ,并 
且 在 今天 仍然 有 着 广泛 的 发 展 空间 ,具有 SMB 会 话 劫持 `.DNS 欺骗 等 类 型 。 具 体 来 说 ,中 
间 人 劫持 是 指 : 通信 主机 A 和 了 B 在 通信 时 ,A 发 送 的 数据 信息 被 第 三 方 C 所 劫持 ,并 转发 
给 B。 对 于 A 和 B 而 言 ,C 的 存在 可 能 造成 极 大 的 威胁 ,C 不 仅 可 以 获取 到 A 和 B 之 间 的 
通信 和 内容 ,而 且 可 以 轻而易举 地 自 改 A 发 送 的 数据 包 中 的 敏感 信息 再 发 送 给 B。 而 A 和 B 
通话 时 ,并 不 会 发 现 有 C 的 存在 。 中 间 人 支持 技术 已 经 被 广泛 用 于 破坏 计算 机 信息 系统 、 
网 络 诈骗 等 犯罪 活动 中 。 由 于 网 络 技术 的 通用 ,中 间 人 劫持 技术 同样 可 以 利用 在 网 络 犯罪 
侦查 工作 中 。 中 间 人 劫持 技术 主要 分 为 以 下 几 种 类 型 。 

1. DNS 欺骗 

DNS 欺骗 (“DNS Spoofing) 是 中 间 人 支持 的 技术 之 一 。 通 过 欺骗 DNS 服务 器 、 路 由 器 
等 方法 把 嫌疑 人 要 访问 的 目标 域名 对 应 的 机 器 解析 为 侦查 人 员 所 控制 的 机 器 ,这 样 嫌疑 人 
原本 要 发 送 给 目标 机 器 的 数据 就 发 送 到 了 侦查 人 员 的 机 器 上 ,这 时 侦查 人 员 就 可 以 监听 甚 
至 修改 数据 ,从 而 收集 到 大 量 的 信息 。 

DNS 欺骗 是 针对 节点 重要 设备 而 进行 的 ,因此 有 可 能 会 对 网 络 传输 造成 重大 影响 , 因 
此 应 当 慎 用 DNS 欺骗 。 
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2. 会 话 劫持 

会 话 劫持 主要 采用 嗅 探 (Sniffer) 技 术 。 从 基本 原理 上 说 , 嗅 探 时 利用 中 间 人 劫持 技术 ， 
欺骗 目标 设备 (例如 ARP 欺骗) ,将 目标 设备 的 流量 重 定向 到 自身 ,自身 网 卡 ( 网 卡 设 为 混 
杂 模式 ) 复 制 数据 包 , 或 者 根据 过 滤 规 则 取出 数据 包 的 子 集 ,再 转交 给 上 层 分 析 的 过 程 。 嗅 
探 是 被 动 的 搜集 ,因此 对 于 网 络 性 能 影响 不 大 ,不 容易 被 发 现 ,同时 支持 的 协议 类 型 很 多 。 
通过 网 络 数据 嗅 探 ,可 以 获得 目标 对 象 的 数据 报 文 ,进而 获取 侦查 机 关 所 需要 的 有 价值 的 情 
报信 息 。 用 于 网 络 数据 嗅 探 和 分 析 的 工具 有 Wireshark Sniffer 等 。 这 些 常 见 的 网 络 数据 
嗅 探 和 分 析 的 软件 ,其 基础 内 核 都 是 libpcap 或 者 winpcap 函数 库 和 框架 , Wireshark 嗅 探 
如 图 7.1 所 示 。 


fe80::5875:21f8:8f36:4c8e 0 


Realtek RTL8168D/8111D PCI-E Gigabit Ethernet NIC fe80::7d38:f248:b529:8663 125 58 Eee 


图 7.1 使 用 Wireshark 对 RTL8168D 网 卡 进行 嗅 探 


据 不 完全 统计 ,会 话 支持 可 以 对 在 网 络 上 运行 的 400 多 种 协议 进行 解码 ,如 TCP/IP、 
Novell Netware, DECnet, SunNFS., X-Windows. HTTP, TNS SLQ * Net v2 (Oracle)、 
Banyan v5.0 和 v6. 0、TDS/SQL(Sybase)、X. 25 Frame Realy PPP. Rip/Rip v2\ EIGRP.、 
APPN SMTP 等 ,上 且 广泛 支持 专用 的 网 络 互 联 桥 /路 由 器 的 帧 格式 。 


7.2.4 网 络 数 据 追 踪 技术 


今天 ,互联 网 十 "已 经 成 为 全 民 关注 的 热点 ,网 络 已 经 渗透 到 我 们 生活 的 各 个 领域 ,人 
们 越 来 越 依赖 网 络 .享受 着 网 络 带 来 的 快捷 方便 。 同 时 网 络 安全 越 来 越 凸 现 其 重要 性 ,一 旦 
网 络 遭 到 攻击 ,如 何 追 踪 淹 源 ,追查 到 攻击 者 并 将 其 强 之 以 法 ; 遇 到 涉 网 案件 ,如 何 根据 网 
站 或 服务 器 信息 追查 嫌疑 人 资料 。 本 节 将 介绍 如 何 通 过 网 站 相关 知识 以 及 从 网 站 能 发 现 的 
信息 ,达到 掌握 网 络 追踪 技术 的 目的 。 

1. 网 络 数据 追踪 技术 概述 

网 络 追踪 技术 是 "通过 对 互联 网 的 公开 数据 的 搜集 ,对 网 上 数据 进行 分 析 ,依据 线 索 , 找 
到 网 络 犯 罪案 ( 事 ) 件 的 源头 的 技术 ”。 网 络 的 技术 性 和 复杂 性 ,使 得 案件 事实 或 者 线索 往往 
无 法 判定 ,需要 经 过 调查 才能 够 确认 是 否 达 到 犯罪 追诉 标准 中 。 网 络 数据 追踪 相当 于 ”* 初 
查 ”, 其 获得 的 数据 是 判断 案件 性 质 、 确 定 侦查 方向 的 判定 依据 。 当 前 网 络 犯罪 活动 高 发 ,如 


@ 《关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 )( 公 通 字 10 号 ) 。 


192 网 络 犯罪 侦查 


何 通过 网 络 追 踪 技术 快速 获取 网 络 犯罪 嫌疑 人 的 虚拟 和 物理 信息 显得 尤其 重要 。 
美国 在 网 络 追踪 技术 方面 一 直 走 在 前 列 。 美 国 的 网 络 追 踪 技 术 称 为 “公开 资源 情报 计 
划 (Open Source Intelligence,OSINT)”。 根 据 美国 国家 情报 局 和 国防 部 的 定义 ,公开 资源 
情报 工作 是 “从 公开 可 获得 的 来 源 收集 信息 ,对 这 些 信息 进行 开发 并 及 时 传递 给 特定 用 户 以 
满足 其 情报 需求 的 工作 ”。 

“人 肉 搜索 ?就 是 利用 公开 的 网 络 数据 进行 追踪 的 典型 代表 。 从 这 个 角度 看 ,网 络 追踪 
技术 的 门槛 并 不 高 ,网 络 犯罪 侦查 人 员 更 应 该 掌握 这 项 技术 。 

一 般 来 说 ,网 络 追踪 技术 可 以 获取 的 数据 来 源 包括 : 

(1) 搜索 引擎 ， 

(2) 网 站 信息 。 

这 二 者 是 成 本 低廉 .内容 丰 富 而 且 潜 力 无 穷 的 情报 信息 的 “ 金 矿 ”。 它 可 能 获得 的 重要 
信息 如 表 7. 2 所 示 。 


表 7.2 网 络 追踪 技术 可 以 获取 的 数据 


序号 信 息 信 息 
1 姓名 QQ 
2 性 别 手机 号 ( 曾 用 / 现 用 ) 
3 出 生日 期 邮箱 
4 身份 证 号 码 银行 卡 
5 家 庭 住址 支付 宝 
6 快递 收 货 地 址 SNS 信息 ( 微 博 , 人 人 网 ,百度 贴吧 等 
7 地 理 位 置 常用 ID 
8 学 历 ( 小 、 初 .高 .大 学 ) 目标 性 格 扫 描 


由 于 是 公开 信息 ,网 络 追 踪 技 术 的 使 用 应 避免 违反 法 律 和 道德 。 由 于 公开 网 络 获 取 的 
信息 数量 太 大 ,来 源太 广 , 难 免 会 存在 信息 的 正 与 负 、 真 与 假 ,而 且 还 会 存在 所 搜集 到 的 信息 
对 侦查 的 实际 用 处 有 多 大 等 问题 。 所 以 ,网 络 追 踪 技术 搜集 来 的 数据 并 不 能 直接 运用 于 侦 
查 工作 及 直接 用 来 确定 侦查 方向 ,而 是 要 运用 科学 的 技术 与 开阔 的 思维 来 对 所 搜集 到 的 信 
息 进 行 分 析 、 判 断 、 推 理 与 加 工 , 才 可 以 选择 真正 与 案件 有 关 的 ,对 侦查 确实 有 作用 的 数据 ， 
并 通过 整理 分 析 过 的 信息 来 确定 案件 的 侦查 方向 。 

2. 搜索 引擎 的 追踪 技术 

百度 的 搜索 服务 中 按 类 别提 供 了 网 页 搜索 、 视 频 搜 索 、 网 络 地 图 搜索 ,新闻 搜索 、 图 片 搜 
索 、 百 度 识 图 等 服务 ,如 图 7. 2 所 示 。 谷 歌 搜索 则 提供 了 网 页 搜索 、 图 片 搜索 .新 闻 、 视 频 搜 
索 和 YouTube 视频 等 媒体 搜索 ,以 及 谷歌 财经 .谷歌 购物 、 谷 歌 趋势 .学 术 搜索 等 专业 搜索 
服务 。 与 其 他 搜索 引擎 一 样 ,谷歌 也 提供 移动 版 搜索 。 

搜索 引擎 的 使 用 ,首先 强调 的 是 提升 搜索 意识 ,侦查 人 员 善 用 搜索 引擎 可 以 得 到 更 多 有 
价值 的 信息 和 线索 。 在 用 搜索 引擎 对 执行 某 一 搜索 任务 时 ,通常 要 根据 搜索 内 容 选择 适合 
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haker 


网 页 新 闻 贴吧 知道 音乐 图 片 视频 地 图 文库 更 多 » 


图 7.2 百度 的 搜索 服务 (部 分 ) 


的 搜索 引擎 ,并 且 交 替 使 用 其 他 不 同类 型 的 搜索 引擎 ,根据 搜索 结果 反复 变换 和 组 合 搜索 关 
键 词 ,以 便 最 终 获 得 有 价值 的 线索 或 结果 。 一 项 搜索 任务 ,有 时 也 会 被 分 解 成 多 个 小 的 搜索 
任务 ,侦查 人 员 根 据 每 个 分 任务 的 特点 ,选择 适合 的 搜索 引擎 产品 。 如 果 搜 索 任 务 可 以 表达 
成 特定 的 或 具体 的 关键 词 , 则 可 以 使 用 百度 和 谷歌 等 搜索 引擎 ; 车 要 搜索 某 一 方面 的 信息 
或 专题 , 则 可 以 在 雅虎 .新 浪 等 网 站 的 专栏 信息 中 搜索 ; 车 要 搜索 特定 的 信息 ,如 图 片 、 文 
档 , 则 可 以 采用 专门 从 事 这 类 信息 搜索 的 搜索 引擎 ,如 百度 图 片 等 。 

使 用 搜索 引擎 时 ,搜索 条 件 ( 即 关键 词 ) 给 得 越 具 体 ,搜索 结果 就 越 精 确 , 因 此 在 搜索 中 
要 细 化 搜索 条 件 。 不 同 的 搜索 引擎 提供 了 不 同 的 查询 方法 ,但 有 一 些 搜索 语法 是 通用 的 , 通 
过 这 些 技巧 和 方法 可 以 提高 搜索 的 效率 。 

1) 通配符 * 和 ? 

通配符 * 和 ? 更 多 地 被 应 用 于 英文 的 搜索 引擎 中 , * 表示 匹配 的 字符 数量 不 受 限制 , 表 
示 匹 配 的 字符 数 受 限 , 只 有 一 位 。 比 如 电话 号 码 只 记 住 最 后 四 位 是 “1234”, 可 以 输入 


人 擎 并 不 十 分 适合 。 

2) 逻辑 命令 

大 多 数 搜索 引擎 都 支持 逻辑 命令 AND 和 OR ,以 及 NOT 缩小 搜索 范围 ,也 可 以 用 “十 ” 
和 "一 实现。 搜索 词 前 用 "十 ”, 则 要 求 搜索 结果 的 网 页 上 必须 含有 该 搜索 词 。 如 "十 诈骗 十 
网 络 ”, 则 搜索 结果 中 一 定 会 含有 “网络 " 一 词 。 但 是 目前 ,谷歌 搜索 已 经 取消 了 “十 ”搜索 指 
令 , 而 用 双 引 号 替换 “十 ”的 作用 。 搜 索 词 前 用 "一 ”, 则 要 求 搜索 结果 中 不 含有 该 搜索 词 , 如 
“诈骗 - 网 络 ”, 搜 索 结 果 中 将 不 包含 "网络 "一 词 。 在 搜索 任务 中 ,可 以 将 各 种 逻辑 关系 灵 
活 搭 配 , 实 现 更 加 复杂 的 查询 。 

3) 双 引 号 

在 关键 词 上 加 半角 的 双 引 号 ,也 可 称 短语 搜索 ,要 求 该 关键 词 必须 精确 地 出 现在 搜索 结 
果 中 。 目 前 双 引 号 的 精确 查找 在 谷歌 搜索 引擎 中 仍然 可 以 去 除 该 关键 词 的 演变 形式 ,但 在 
百度 搜索 中 却 不 同 。 如 在 谷歌 搜索 中 ,在 搜索 栏 中 输入 “电邮 ”, 则 搜索 结果 中 不 含有 “电子 
邮件 ”等 词 ,但 百度 搜索 ,搜狗 搜索 等 搜索 引擎 则 会 将 “电子 邮件 ”纳入 搜索 结果 。 

4) 在 特定 网 站 中 搜索 (site) 

“site:” 可 以 实现 针对 特定 的 网 站 或 网 域 中 进行 搜索 ,如 “诈骗 site:sina. com. cn”, 搜 索 
引擎 会 只 限定 在 sina. com. cn 的 范围 内 进行 搜索 ; 再 如 “诈骗 site:edu. cn” 只 会 在 教育 网 域 
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中 进行 搜索 。 

5) 在 限定 的 url 链接 中 搜索 (inurl) 

于 网 页 url 中 的 某 些 信 息 会 具有 线索 价值 ,对 搜索 结果 的 url 做 某 些 限定 可 以 获得 一 
定 的 效果 。 如 在 搜索 栏 中 输入 “inurl: attack”, 会 得 到 网 页 地 址 含有 “attack” 的 网 页 ,如 
图 7.3 所 示 。 


学 习 黄 证 的 
| 首选 的 网 上 资源 ,世界 范围 内 提高 您 的 英语 水 平 …. English Attack! 是 学 习 英语 的 新 方式 ,其 由 
媒体 、 视 频 游戏 专家 及 认 知 神经 科学 研究 人 员 共同 开发 。 我 们 的 创新 性 学 习 法 


Ww engiCGttack com》 -百度 忆 蛤 - 评 位 
Home | Hat Attack 


Fedoras, Caps, Sunhats, Bags, and Accessories for Women and 
Men since 1981.... Hat Attack Accessories Made in USA About 
FalyWinter 15 In the Ne 


-百度 快照 - 评价 - 副 译 此 页 


图 7.3 inurl 搜索 示例 


6) 在 特定 的 网 页 标题 中 搜索 (intitle) 

一 般 来 说 ,网 页 标题 是 对 一 个 网 页 的 总 结 ,intitle 将 搜索 的 内 容 限 制 在 网 页 的 标题 上 。 
如 “intitle: 机 票 ”, 搜 索 结果 中 会 出 现 网 页 标题 含 “机 票 ” 的 网 页 。 

7) 在 特定 文件 格式 中 (filetype) 搜 索 

在 搜索 引擎 中 使 用 filetype 命令 可 以 实现 对 特定 文件 格式 的 搜索 , 如 “网 络 技术 
filetype:docx”, 会 搜索 到 含有 “网 络 技 术 ” 这 一 关键 词 的 WORD 文档 。 目 前 搜索 引擎 支持 
对 pdf、doc、xls、ppt、rtf 等 文件 格式 的 搜索 。 

8) 搜索 链接 到 某 网 址 的 页 面 (link) 

Link 用 于 搜索 链接 到 某 个 选 定 网 站 的 页 面 。 在 百度 搜索 中 ,link 后 面 的 网 址 可 视 为 一 
个 关键 词 , 即 搜索 出 的 页 面 中 含有 该 网 页 地 址 的 文本 ; 在 谷歌 搜索 中 使 用 link, 则 会 查找 反 
向 链接 ,但 只 包含 网 站 所 有 反 向 链接 的 少 部 分 。 

相对 于 百度 搜索 引擎 ,谷歌 搜索 的 搜索 语法 更 为 丰富 。 除 了 上 述 提 到 的 语法 之 外 ,还 
有 很 多 可 以 用 于 缩小 搜索 范围 达到 精确 搜索 目的 的 语法 ,如 谷歌 搜索 可 以 限定 搜索 结果 的 
时 间 , 可 以 指定 一 定数 据 范围 内 的 搜索 结果 等 。 无 论 选用 哪 种 搜索 引擎 ,在 执行 搜索 任务 时 
都 可 以 综合 运用 ,灵活 地 组 织 这 些 语法 ,从 而 提高 搜索 效率 和 效果 。 

有 些 时 候 , 人 们 并 不 愿意 去 记忆 语法 ,搜索 引擎 也 提供 了 高 级 搜索 功能 ,涵盖 了 一 部 分 
的 上 述 语法 功能 ,如 图 7.4 所 示 为 百度 的 高 级 搜索 页 面 .谷歌 也 提供 高 级 搜索 页 面 , 且 功 能 


外 尽管 谷歌 搜索 境内 无 法 访问 ,但 是 其 搜索 能 力 还 是 非常 强大 的 。 
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更 为 丰富 。 

搜索 结果 : 包含 以 下 全 部 的 关键 词 
包含 以 下 的 完整 关键 词 : 
包含 以 下 任意 一 个 关键 词 
不 包括 以 下 关键 词 

时 间 : 限定 要 搜索 的 网 页 的 时 间 是 全 部 时 间 [@ 
文档 格式 : 搜索 网 页 格式 是 所 有 网 页 和 文件 器 
关键 词 位 置 : 查询 关键 词 位 于 图 网 页 的 任何 地 方 @ 仅 网 页 的 标题 中 @ 仅 在 网 页 的 URL 中 
站 内 搜索 : 限定 要 搜索 指定 的 网 站 是 例如 : baidu.com 


图 7.4 百度 高 级 搜索 页 面 


除了 掌握 各 大 搜索 引擎 的 特点 和 搜索 技巧 , 若 要 精确 地 完成 搜索 ,还 要 对 常见 信息 资源 
的 数据 源 有 所 了 解 , 在 执行 搜索 任务 时 才 更 具 方 向 性 。 

3. 网 站 数据 的 追踪 技术 

网 站 数据 的 追踪 是 对 目标 在 互联 网 上 进行 外 围 侦 查 。 以 追踪 网 站 建站 者 为 例 , 对 其 追 
踪 主 要 通过 以 下 几 个 方面 : 

(1) 从 网 站 域名 着 手 , 通 过 Whois 信息 或 者 网 站 域名 备案 信息 获取 域名 注册 人 相关 
信息 ; 

(2) 通过 网 站 的 IP 地 址 ,可 以 查询 到 其 位 于 哪个 地 区 ,以 及 网 络 服务 的 提供 商 是 谁 ,从 
提供 商人 入手 获取 该 IP 持 有 者 的 信息 ; 

(3) 认真 查看 网 站 内 容 , 收 集 网 站 上 管理 员 留 下 的 联系 方式 ,地址 .昵称 等 信息 ,通过 数 
据 碰撞 及 社会 工程 学 获取 更 多 的 真实 身份 信息 ; 

(4) 针对 获得 的 信息 ,再 一 次 进行 循环 搜索 ,获得 更 多 的 信息 。 

对 网 络 数据 进行 追踪 主要 有 以 下 6 种 途径 。 

1) 调试 工具 

为 了 帮助 程序 员 更 方便 .更 高 效 地 进行 网 页 开发 ,浏览 器 都 带 有 开发 人 员工 具 ,无 论 是 
Google Chrome 的 开发 人 员工 具 . 还 是 Firefox 的 Firebug ,Safari 的 WebInspector 等 ,都 可 
以 进行 网 络 数据 的 跟踪 。 

以 Google Chrome 浏览 器 为 例 ,在 Chrome 的 Console 控制 台中 (如 图 7.5 所 示 ), 通 常 
包含 请 求 网 页 的 错误 信息 ,也 可 能 包含 网 站 开发 人 员 留 下 的 隐藏 信息 。 

2) 服务 器 

网 站 服务 器 可 根据 网 站 应 用 的 需要 ,部 署 搭建 ASP/JSP/. NET/PHP 等 应 用 环境 。 当 


196 网 络 犯罪 侦查 


Q 日 Hements Network Sources Timeline Profles Resources Audis eonsolel 泛 头 口 
© 时 «topframe> v 目 preservelog 

一 张 网 页 ， 要 经 历 怎样 的 过 程 ， 才 能 托 达 用 户 面前 Bl async search b1466944,1s:101 

一 位 新 人 ， 要 经 历 号 样 的 成 长 ， 才 能 站 在 技术 之 而 ?9 

探寻 这 里 的 秘宝 # 

5 

成 为 这 里 的 主人 ;3 

加 入 百度 ， 吉 入 同 页 搜索 ， 你 ， 可 以 最 % 癌 世界 > 

请 将 简历 发 送 至 ”ps_recruiterebaidu.com ( 邮件 标 辐 请 以 "姓名 -应 稳 xX 职 位 -来 自 console* 病 名) all async search b1466a44.js:161 

职位 介绍 : http://dwz.cn/hr2813 al1 async search b1466844.1s:101 


?| 


图 7.5 Chrome 的 Console 控制 台 


前 流行 两 种 环境 : 一 种 是 Linux 十 Apache( Nginx) 十 MySQL 十 PHP, 也 就 是 LAMP/LNMP 
环境 ; 另 一 种 是 Windows 十 IIS 十 ASP/. NET 十 MSSQL 环境 。 了 解 服务 器 环境 可 以 帮助 侦 
查 人 员 了 解 网 站 信息 。 

要 查看 Web 服务 器 软件 类 型 ,可 以 打开 浏览 器 的 开发 人 员工 具 , 找 到 Network 标签 ， 
查看 网 页 文件 的 具体 内 容 , 在 头 部 信息 中 ,Server 表示 该 网 站 的 服务 器 ,如 图 7.6 所 示 的 例 
子 ,可 以 看 到 服务 器 使 用 的 是 Apache 2. 2. 21 版 本 。 
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入 昌 本 守信 Ppresevelcg @ Disable cache 
Name 


Path x [Headers | Preview Response Cookies Timing 
国 www freebufcom 二 vGeneral 


Remote Address: 186.97.164.2:89 
国 wp-recentcomments.css?.. [eqe: ge 
static. 3001.neVcss/recen.. Request Method: GET 
Status Code: ®@ 200 OK 


国 ds YResponse Headers ~ view source 


Connection: keep-alive 


WidgetcssVer=132.1 Content-Encoding: gzip 
| /liphsgins/ooid tenis = Content-Type: text/html; charset=UTF-8 
jquery minjsver=36.1 2 
| static 3001. newss /header 
国 iecaea 
/buf/plugins/wp-favorite.. 


Vary: Accept- a 
X-Pingback: http://wm. freebuf. com/xmlrpc.php 


| Mehslde.css ) vRequestHeaders 。 view source 
Static3001 neyesshigts | Accept: text /tnl, spplication/xhtml+xml,application/xel;q-0.9,inage/webp, */*;90.8 
[3 highshide-with-htmlpack.. Mccept-Encoding: gzip, deflate, sdch 


图 7.6 开发 人 员工 具 的 Network 标签 


获取 网 站 服务 器 操作 系统 ,也 可 以 借用 在 线 工 具 , 如 toolbar. netcraft. com/site_report、 
whatweb. net 等 ,能 同时 查看 服务 器 操作 系统 及 其 历史 变更 、 网 站 使 用 的 技术 .安全 信息 、IP 
地 址 .DNS 等 一 系列 信息 。 

以 网 站 www. gov. cn 为 例 , 通 过 在 线 工具 查看 网 站 信息 ,如 图 7.7 所 示 。 可 知 该 网 站 
服务 器 主机 的 操作 系统 是 Linux, Web 服务 器 软件 为 Apache。 

3) 端口 

端口 (protocol port) 是 程序 与 外 界 通信 的 通道 .Windows 系统 规定 一 个 设备 有 65 536 
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日 Network 
Site http://www.gov.cn Netblock Beijing JingTian Technology Co., 
Owner Ltd. 
Domain WwW.gov.cn Nameserver nsl.xgslb.net 
JIPaddress 180.210.234.9 DNS admin root@xgslb.net.www.gov.cn | 
IPv6 Not Present Reverse ~ unknown | 
address DNS 
Domain cnnic.net.cn Nameserver whois.35.com 
registrar organisation 
Organisation China Hosting unknown 
company 
Top Level China (.gov.cn) DNS unknown 
Domain Security 
Extensions 
Hosting CN 
country 
Hosting History 
Netblock owner IP address os Web server Last 
Seen 
Refresh 
UCWEB TECHNOLOGIES INC Guangzhou 65.255.39.6 Linux Apache/2.2.25 11- 
Guangzhou CN 510665 Unix DAV/2 Mar- 
2016 


图 7.7 在 线 工 具 查 看 网 站 信息 


个 端口 ,每 个 端口 对 应 一 个 唯一 的 程序 。 反 之 ,每 个 网 络 程序 ,无论 是 客户 端 还 是 服务 器 端 ， 
都 对 应 一 个 或 多 个 特定 的 端口 号 。 由 于 0 一 1024 端口 多 被 操作 系统 占用 ,所 以 实际 编程 时 
一 般 采 用 1024 以 后 的 端口 号 。 使 用 端口 号 ,可 以 找到 一 台 设 备 上 唯一 的 一 个 程序 。 所 以 如 
果 需 要 与 某 台 计算 机 建立 连接 的 话 , 只 需要 知道 IP 地 址 或 域名 即 可 ; 但 是 如 果 想 与 该 台 计 
算 机 上 的 某 个 程序 交换 数据 的 话 , 还 必须 知道 该 程序 使 用 的 端口 号 。 反 过 来 ,知道 主机 使 用 
哪些 端口 号 ,就 可 以 知道 它 运行 着 哪些 服务 。 
在 Windows 系统 中 要 查看 本 机 系统 端口 ,可 以 使 用 Netstat 命令 , 单 击 “ 开 始 ” 一 “ 运 

行 ” 命 令 , 在 “运行 "对 话 框 中 输入 cmd, 打 开 命 令 提 示 符 窗口 ,在 命令 提示 符 状态 下 输入 
“netstat - ano”, 按 回 车 键 后 就 可 以 看 到 以 数字 形式 显示 的 所 有 TCP 和 UDP 连接 的 端口 
号 (PID) 及 状态 。 当 侦查 人 员 想 知道 具体 是 哪个 程序 或 进程 占用 了 某 个 指定 端口 时 ,可 以 
用 命令 “netstat -ano|findstr 指定 端口 号 ”进行 查询 。 然 后 打开 Windows 的 任务 管理 器 ,在 
“服务 ”选项 卡 中 查找 对 应 PID 的 服务 , 即 可 获得 服务 与 端口 号 的 对 应 关系 ,如 图 7.8 和 
7.9 所 示 。 

端口 扫描 是 指向 每 个 端口 发 送 消 息 ,通过 接收 到 的 回应 类 型 判断 是 否 在 使 用 该 端口 。 
进行 扫描 的 方法 很 多 ,可 以 手工 进行 扫描 ,也 可 以 用 端口 扫描 软件 进行 扫描 。 通 过 端口 扫 
描 , 可 以 得 到 许多 有 用 的 信息 ,从 而 发 现 系 统 开放 的 服务 。 


EE 
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:\Docunents and Settings Adninistrator netstat -ano 


Rctive 


Connections 


端口 扫描 
IP 地 址 就 能 得 
,还 所 
探测 一 组 主机 
的 操作 系统 。 
Nmap 还 允许 上 


Proto 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 
TCP 


State 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 
LISTENING 


图 7.8 命令 提示 符 窗口 查看 端口 号 及 连接 状态 
攻 任务 管理 器 国 
文件 (月 ”选项 (0) 坦 看 (V) 
[过 本 | 人 8 | 用户 | 详细 信 息 | 服务 
名 称 PID 拓 述 状态 组 
SogouUpdate SogouUpdate 已 停止 
ZhuDongFangYu 972 ”主动 防御 正在 运行 
wmiApSrv WMI Performance Adapter 已 停止 
VSS Volume Shadow Copy 已 停止 
VMwareHostd 2284 。 VMware Workstation Server ”正在 运行 
第 VMware NAT Service 1484 VMware NAT Service 正在 运行 
襄 VMUSBArbService 1584 VMware USB Arbitration Servi.。 正在 运行 
图 7.9 Windows 任务 管理 器 查看 服务 与 端口 号 的 对 应 关系 
也 可 以 通过 在 线 工具 进行 ,例如 tool. chinaz. com/port 等 ,只 需要 给 出 域名 或 


况 


到 端口 开放 


青 
以 使 用 扫描 软件 
:扫描 主机 端口 ， 
苗 仅 有 两 


是 否 在 线 ; 二 是 
用 于 扫 


一 上 
= 洒 


Nmap 晶 


和 户 定 制 扫描 技巧 。 


本 的 形式 出 现 ,对 网 站 进行 侦查 时 ， 


,例如 Nmap(Network Mapper) 
提供 的 网 络 服务 ， 
个 节点 的 LAN ,还 可 用 于 500 个 节 


嗅 探 所 


除 


其 基本 功能 有 


一 是 
:是 推断 主机 所 用 
点 以 上 的 网 络 。 


要 确定 系统 信息 外 ， 


4) 脚本 类 型 

网 络 rr 般 是 以 膨 
还 要 知道 脚本 类 要 查看 
Network 标签 Ce 页 文件 


言 ,如 图 7. 10 所 示 。 
5) Web 建站 应 计 


了 解 网 站 使 用 的 建站 软件 


:可 以 更 好 地 了 


有 务 器 端 脚 本 类 
的 具体 内 容 , 在 头 部 信息 


型 ,可 以 打开 浏览 ee 工具 ,找到 
中 ,X-Power-By 即 该 网 页 的 脚本 语 


解 网 站 的 结构 、 优 缺点 ,可 以 有 针对 性 地 进行 
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[GB bbs.9you.com/forum.php 


* [Headers | Preview Response Cookies Timing 
2 | v General 
Remote Address: 60.296.13,101:80 
— pr Request URL: nttp://bbs.9you, com/ forum. php 
国 A Request Method: GET 

Status Code: ©@ 200 Or 


国 ee VResponse Headers View source 
Connection: keep-alive 
国 commonjs7Zue Content-Encoding: gzip 
/statids Content-Type: text/ntel; charset=utf-8 
= forumjZue Date: Fri, 22 Jan 2016 68:43:38 GT 
出 tro Server: nginx/1.4.4 
Set-Cookie: oNd_2132_13stact=1453452210NW99Forum. phpNe9; expireseSat, 23-Jan-2016 98:43:3 
加 eePng @ GMT; path=/ 
i art bbs 9youcom/static/ Set-Cookie: VG_2132 sid=pLkelb; expires=Sat, 23-Jan-2816 88:43:38 GMT; path=/ 
| forumsidejsTZue Transfer -Encoding: chunwed 
ES /sat 
司 discur tipsjs?v=1 
Barvegtimg vdotsc 


7.10 查看 网 页 文件 头 部 信息 


下 一 步 侦查 。 主 要 的 Web 建站 应 用 有 Discuz、PHPWind 、WordPress。 
通过 whatweb. net 网 站 查询 (如 图 7.11 所 示 ) ,可 以 获知 网 站 是 否 使 用 了 建站 应 用 ,以 
及 使 用 的 是 哪 种 软件 平台 。 以 www. gov. cn 为 例 , 可 知 该 网 站 使 用 WordPress 建站 。 


WhatWeb is a next generation web scanner Enter a domain to analyze: 


WhatWeb recognises web technologies including 
content management systems (CMS). blogging 


Pes te ecg JavaScript 
raries, web servers, and embedded devices 思 Download 
WhatWeb has over 1000 plugins, each to recognise W wiki 


something different WhatWeb also identifies 
version numbers, email addresses, account IDs, 
web framework modules. SQL errors, and more- 


http; //forensicfocus. com [200] Addflhis, Cookies[CMSSESSID,__cfdvid], 
HIPServer [cloudflare-nginx], 
tponly[ _cfduid], 
卫 [104.24 20.19], 
JQuery, Meta-Author[Forensic Focus], 
NMetaGenerator [CPG Draganfly QIS，Copyright (c) 2003-2016 by CPG-Wake Development Team, http://dragonflyc 
penraphProtocol [article], 
PasswordField[user_password], 
Script [text/ javascript], 


图 7.11 在 线 网 站 查询 


另外 ,在 网 页 底部 信息 或 网 页 源 代码 中 可 能 包含 建站 软件 的 关键 词 。 在 对 各 软件 有 所 
了 解 的 基础 上 ,结合 各 软件 建站 的 特点 ,也 可 根据 经 验 进行 判断 。 
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6) 旁 站 

旁 站 指 网 站 所 在 服务 器 的 其 他 网 站 。 网 站 滴水 不 漏 但 不 代表 与 它 所 在 同一 服务 器 的 其 
他 网 站 同样 没有 漏洞 。 所 以 了 解 旁 站 ,也 是 对 目标 网 站 的 一 种 了 解 和 分 析 。 

通过 http://i. links. cn/sameip. asp、http://i. links. cn/subdomain/ 等 在 线 工 具 可 以 对 
指定 IP 或 域名 进行 查询 ,如 图 7. 12 所 示 。 


同 IT 站 点 可 但 ,甘地 址 后 吉 域 各 


商 输 入 要 二 i 和: httpWwww tianyouliangyuan comy Bm rs 坦 询 


tp /fr imeealiangyasa ce 对 应 T 增 址 为 ; 125.65.41.93 
《四 咱 涯 强 阳 市 电信 Ic 机 夺 (科技 城 机 大)》 
站 击 : 


图 7.12 对 指定 人 P 或 域名 进行 查询 的 在 线 工具 


4. 网 站 域名 注册 信息 的 查找 与 分 析 

Whois 是 用 来 查询 域名 的 IP 地 址 及 所 有 者 等 信息 的 好 方法 。 早 期 ,Whois 多 以 命令 的 
方式 ,后 来 出 现 了 一 些 网 页 接口 简化 的 线 上 查询 工具 ,可 以 很 方便 地 一 次 向 不 同 的 数据 库 查 
询 , 例 如 www. whois. com/whois、 whois. icann. org/zh、whois. chinaz. com、 www. whois. 
com/whois/ 等 。 网 页 接口 的 查询 工具 仍然 依赖 Whois 协议 向 服务 器 发 送 查询 请 求 , 命 令 列 
接口 的 工具 仍然 被 系统 管理 员 广泛 使 用 。 

通过 Whois 查询 ,可 以 得 到 网 站 的 注册 商 、 相 关联 系 人 、 服 务 器 .DNS、 联 系 方式 .地 址 
等 信息 ,如 图 7.13 所 示 。 

将 查 出 的 部 分 信息 作为 条 件 , 反 过 来 查询 与 此 条 件 相 匹配 的 一 系列 其 他 域名 列表 情况 ， 
侦查 人 员 可 以 知道 该 注册 人 拥有 哪些 域名 ,或 者 说 是 拥有 哪些 站 点 ,那些 域名 的 注册 信息 具 
体 是 什么 等 相关 信息 , 称 为 Wohis 反 查 ,如 图 7.14 所 示 。 

结合 反 查 结果 的 域名 Whois 信息 、 网 站 内 容 、 网 页 源码 ,文件 等 信息 ,可 以 筛选 出 反 查 
结果 中 与 原 网 站 相关 的 内 容 , 再 对 相关 的 网 站 进行 Whois 查询 。 结 合 社会 工程 学 ,可 以 得 
到 更 多 有 用 信息 。 

5. 网 站 IP 地 址 及 网 站 服务 器 定位 

在 网 络 犯罪 侦查 过 程 中 ,获得 IP 地 址 的 方法 很 多 , 比如 通过 对 网 络 中 传输 的 电子 数据 


域名 
Olimg.cn 
03030303.cn 
0303123.cn 
0575tourcn 
0909678.cn 


www baidu com 


联系 信息 
注册 人 联系 人 管理 联系 人 
Duan 姓 各 : Zhyong Duan 


姓名 : 
组 织 Beljng Baidu Netcom Science 


Technology Co.. Lid. Technology Co.. Li 

邮 硅 地 址 : SF Baidu Campus 址 : 3F Baidu Campus 
No.10, Snangdl 10th Street No 10, Shangal 10tn Street 
Haidian Distiic. Bejing Being 
100085 CN 


电话 : +86.1059924216 


转 接 : 
传真 转 接 : 


注册 商 

WHOIS 服 务 器 ，whols markmonlor com 
网 让 htlp /www markmontor com 
注册 商 : MarkMonktor, Inc 
互联 网 号 码 分 配 机 构 (IANA) 编号 : 292 
沉 用 侍 损 联 和 电 
地 : abusecompualnts@marktmontor com 
漳 用 革 报 联系 电话 。 *1.2083895740 


重要 日 期 


更 新 日 期 ，2015.09.10 
生成 日 明 :， 1999-10-11 
注册 天 期 日 : 2017-10-11 


电话 : +86 1059924216 


传 再 : +86 1059927435 


电子 邮 
件 domainmaster@badu com 


状态 
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技术 联系 人 

怒 各 : Zhyong Duan 

组 织 Beiing Baidu Netcom Science 
Technology Co Lid 

地 将 地 址 : 3F Baidu Campus 
No.10, Shangdl 10m Street 


电话 : +86.1059924216 
转 接 : 


传真 ， +86 1059927435 
伟 让 轩 接 : 


域名 状态 : chentUpdateProhiblled 

(hlips /www icann. org/epp#chientUpdateP rohtbited) 
域名 杖 坊 : clentTransferProhioted 

(https /www icann orgleppfclentTranslerProhipted 


) 
域名 状态 : 


chentDeletepr 
(nttps /www icann org/eppaclentDeleteProhibted) 


域名 服务 器 


ns3 baidu com 
nsS4 baidu com 
dns baldu com 
ns2 baldu com 
ns7 baldu com 


图 7.13 Whois 查询 域名 注册 信息 


Whois 反 坦 


| 上 和 町 反 查 - | domainmaster@baidu.com 


注册 者 al 过 期 时 间 ， 。 更 新 
百度 在 线 网 络 技术 (北京 ) 有 限 domainmaster@baidu.com 2010-08- 2017-08- 中 
局 向 器 domainmaster@baidu.com 2015-04- 2016-04- © 
局 向 腾 domainmaster@baidu.com 2015-04- 2016-04- © 
局 向 蝎 domainmaster@baidu.com ”2015-04- ”2016-04- © 
周 向 器 domainmaster@baidu.com 2015-04- 2016-04- ) 


图 7.14 Whois 反 查 


的 嗅 探 ,查询 互联 网 管理 机 构 数据 库 , 或 使 用 一 些 显示 IP 地 址 的 外 挂 插件 等 ,都 可 以 获取 网 
络 主机 的 IP 地 址 ,这 些 IP 地 址 有 些 是 目标 主机 的 真实 IP 地 址 ,有 些 是 代理 IP 地址 甚至 是 


伪装 过 的 IP 地 址 。 


互联 网 是 基于 IP 地 址 的 ,一 台 主 机 在 互联 网 上 的 一 切 行为 都 要 打上 IP 地 址 的 烙印 , 因 
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为 网 络 通信 都 有 数据 发 送 者 与 数据 接收 者 ,所 以 只 要 有 与 主机 的 通信 ,就 能 知道 对 方 的 卫 
地 址 ,即使 对 方 在 防火 墙 后 也 至 少 能 够 知道 对 方 防火 墙 的 地 址 。 

获取 网 站 的 IP 地 址 ,最 简单 的 方法 是 ping 网 站 网 址 ,在 返回 响应 中 可 以 看 到 响应 的 他 
地 址 , 即 网 站 的 IP 地 址 ,如 图 7.15 所 示 。 


:NJsers\Adninistrator ping wwu-qq-com 


在 Ping www.qq-com [59.37.96.63] 具有 32 
59.37.96.63 


图 7.15 ping 网 站 网 址 


1) IP 地 址 查询 

IP 地 址 查询 取决 于 它 的 人 大 量 IP 段 是 根据 地 域 分 配 的 ,此 外 ,还 有 相当 一 部 
分 IP 是 固定 分 配 的 ,长 期 以 来 都 不 会 改变 ,这 就 为 查询 IP 对 应 的 地 理 位置 带 来 了 方便 。 将 
这 些 IP 与 地 理 位 置 的 对 应 关系 进行 收 有 和 记录 的 数据 库 , 称 为 IP 数据 库 , 确 认 IP 数据 库 。 

通过 这 些 IP 数据 库 , 就 可 以 查询 到 该 IP 地 址 的 所 在 位 置 。 同 时 ,也 可 以 作为 查询 域名 
对 应 的 IP 地址 和 物理 位 置 的 工具 , 比 ping 更 加 简单 有 效 , 如 图 7.16 所 示 

ip138. com IP 查 询 (搜索 IP 地 址 的 地 理 位 置 ) 
www. baidu. com >> 115. 239. 211. 112 


浙江 省 书 
铸 所 一 ， 浙 江 省 绍兴 市 电信 


图 7.16 通过 他 数据 库 查询 IP 地 址 的 所 在 位 置 


必须 承认 ,这 种 数据 库 不 可 能 100% 准 确 , 因 为 存在 大 量 IP 是 动态 分 配 的 ,即使 是 固定 
IP 也 会 出 现 变 更 ,而 数据 库 来 不 及 更 新 ,所 以 要 结合 其 他 信息 综合 判断 。 

2) IP 追踪 

IP 地 址 的 追踪 技巧 有 很 多 ,主要 有 以 下 几 种 : 

(1) 使 用 nslookup 查询 IP 的 用 途 。 

很 多 互联 网 上 的 网 络 系统 可 以 通过 一 个 数字 的 IP 地 址 或 一 个 完全 合格 域名 (Fully 
Qualified Domain,FQDN) 确 定 ,FQDN 是 网 络 系统 的 一 个 文本 名 称 , 用 户 能 很 容易 地 记 住 
它 , 其 作用 类 似 电话 每 上 与 电话 号 码 对 应 的 名 称 , 通 过 nslookup 等 命令 查询 某 个 卫 地 址 的 
FQDN ,可 以 洞察 该 IP 地 址 的 系统 用 途 或 位 置 。 

从 图 7.17 可 以 看 出 ,IP 地 址 173. 194. 127. 144 对 应 的 FQDN 为 hkg03s13-in-fl6. 
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lel00. net ,而 域名 lel00. net 正 是 谷歌 公司 所 有 ,由 此 判断 173. 194. 127. 144 是 谷歌 公司 其 
中 一 个 服务 器 的 人 P。 
IC:\Docunents and Settings\hdministrator>nslookup 173.194.127.144 


lServer: google-public-dns-a.google.com 
Adadress: 8.8.8.8 


Name: hkg63s13-in-f16 .1e188.net 


Address: 173.194.12?7.144 


IC:\bocunents and Settings\Administrator>, 


图 7.17 使 用 nslookup 查询 IP 


值得 注意 的 是 ,不 是 所 有 的 域名 服务 器 都 允许 被 查询 ,应 更 换 多 个 域名 服务 器 进行 查 
询 , 或 者 通过 第 三 方 nslookup 工具 进行 查询 。 

(2) 使 用 Tracert 跟踪 IP 路 由 。 

Tracert 命令 通过 发 送 一 个 TTL 数据 包 ,监听 返回 的 ICMP 超时 消息 判断 其 路 由 路 径 。 
这 种 方法 最 大 的 好 处 是 可 以 获得 最 后 到 达 目 标 卫 的 路 由 地 址 ,从 而 判断 出 目标 IP 的 真 
属地 和 运营 商 。 

(3) 利用 端口 扫描 判断 IP 所 属 网 络 设备 的 类 型 

-个 端口 代表 一 个 服务 ,而 有 些 服 务 是 一 些 操作 系统 所 特有 的 (默认 的 ), 例 如 端口 

3389 是 Windows 服务 器 远程 桌面 的 默认 端口 ,端口 22 是 类 UNIX 系统 的 远程 SSH 端口 ， 
端口 1723 是 VPN 服务 的 默认 端口 。 一 些 网 络 服务 还 可 通过 端口 返回 指纹 信息 ,通过 端口 
开放 情况 可 以 大 致 判断 该 了 了 所 属 主机 的 存活 、 安 装 的 操作 系统 .开放 的 服务 等 情况 。 但 需 
要 注意 的 是 ,在 有 些 国家 ,未 经 授权 的 情况 下 进行 端口 扫描 是 违法 的 。 

(4) 利用 网 络 搜索 综合 判断 IP 性 质 。 

利用 各 大 搜索 引擎 对 IP 地 址 进行 搜索 ,根据 搜索 结果 对 IP 地 址 进行 综合 判断 。 例 如 
一 个 无 法 判断 属地 城市 的 地 址 ,如 果 多 次 出 现在 百度 某 个 城市 的 贴吧 . 则 该 IP 极 有 可 能 
就 属于 这 个 城市 ; 利用 cn. bing. com 搜索 引擎 加 “IP: X. X. X. X” 语 法 可 以 搜索 出 在 这 个 IP 
地 址 上 曾经 出 现 过 的 网 页 ; 如 果 了 P 地 址 多 次 出 现在 某 些 代理 发 布 站 上 , 则 这 个 IP 地 址 极 
有 可 能 为 代理 地 址 。 

6. 网 页 内 容 上 的 线索 与 分 析 

通常 在 网 站 底部 或 导航 栏 中 都 有 “关于 本 站 ”的 信息 .在 链接 中 还 可 能 包含 网 站 介绍 、 联 
系 电话 .QQ 邮箱 .公司 地 址 等 更 加 详细 的 信息 ,如 图 7. 18 所 示 。 

7. 综合 判定 

结合 对 网 站 机 构 、 建 站 信息 的 侦查 结果 ,可 以 获得 建站 人 的 众多 信息 ,以 www. 
tianyouliangyuan. com 网 站 的 侦查 为 例 ,可 以 知道 建站 人 的 QQ 号 码 为 1337672977 (如 
图 7.19 所 示 ), 姓 名 为 ^hai lin yang”。 通 过 网 络 搜 索 ,可 以 找到 更 多 信息 ,包括 电话 号 码 和 


204 网 络 犯罪 侦查 


关于 本 站 ”网 站 帮助 ”广告 服务 法律 青 明 ”友情 连接 ”人 才 招 聘 商务 联盟 
咨询 QQ: 中 eeepeeped 作词 电话 : 0374-7818978 15603872939 
Copyright 2015 - 2018 技术 支持 : See 蚤 ICP 备 06023813 号 
Powered By Nslove Version 6.20 页 面 执 行 时 间 0.06250 秒 


图 7.18 页 面 中 “关于 本 站 ”的 信息 
地 址 信息 等 。 


| 1337672977 a Br 
图 于 20058 下 师 了 

2012 年 6 月 9 日 - 1337672977 于 2012-06-09 19:15:05 藉 喜 状 喜 。antao890724 于 2012-06-09 
19.21:23 我 何 时 才能 出 师 啊 _nicholaswxr 于 2012-06-09 19:23:07 出 师 有 . 

www ggad88 comtop_p ，~ - 百度 快照 - 评价 


”一 [-.-We Like Art TC 专属 团 洲 您 共度 【 圣 旦 】 双 节 .._ 百 度 贴吧 


3 条 回复 -发帖 时 间 ; 2011 年 12 月 24 日 

TC 专 属 团 本 1L 本 纵 至 证 老人 节 节 。 回复 TC 专属 团 者 回复 TC 专属 
团 糖 回复 共有 1 页 回 夏 贴 :2 普通 登录 手机 登录 帐号 

tieba baidu com/p/1337_，~ -百度 快照 - 77% 好 评 


吉英 汽车 电子 批发 网 - 首页 


人 1 公司 地 址 :山东 省 竣 坊 市 月 河 路 民主 街 交 叉 口 国家 锅 轴 化 器 大 楼 4 楼 联 
系 电话 :13280700836 电子 邮件 :4337672977@qq com 
Wwwjiyingdz com/ ~ - 百度 快照 - 评价 


佳木斯 爱 之 源 月 嫂 - 首页 


公司 地 址 山东 省 寻 坊 市 月 河 路 民主 街 交 双 品 国家 级 儿 化 器 大 档 4 必 了 
系 电话 :13280700836 电子 邮件 :1337672977@qq com Built By 中 国 
Kw 河 全 互联 网 科技 

€ wwwjmsazy.com/ > -百度 快照 -评价 


图 7.19 搜索 “1337672977” 


7.2.5 小 结 


网 络 数据 搜集 是 进行 数据 关联 比 对 和 分 析 的 前 提 。 数 据 搜集 技术 决定 了 数据 的 质量 ， 
网 络 数据 搜集 实际 上 是 数据 的 获取 和 挖掘 能 力 , 在 全 民 触 网 的 时 代 , 每 个 人 都 在 网 络 上 留 下 
了 大 量 的 信息 ,这 些 信 息 都 可 以 用 于 网 络 犯罪 侦查 。 侦 查 人 员 不 能 被 动 地 等 待机 器 运算 ,而 
是 应 当 利 用 各 种 技术 ,主动 地 挖掘 数据 ,掌握 追踪 技巧 。 


7.3 网 络 数据 关联 比 对 技术 


网 络 犯罪 侦查 的 特点 是 电子 数据 量 大 、 结 构 复杂 、 分 析 困 难 。 数据 关联 比 对 技术 是 网 络 
侦查 技术 对 于 大 数据 的 综合 应 用 ,可 以 提高 侦查 效率 。 在 网 络 犯罪 侦查 中 ,如 何 对 海量 数据 
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进行 科学 分 析 , 提 人 炼 出 重要 信息 ,是 网 络 数据 关联 比 对 的 重要 任务 。 
本 节 通 过 介绍 网 络 数 据 关 联 比 对 技术 ,帮助 读者 了 解 和 掌握 一 些 数据 关联 比 对 的 基本 
应 用 技巧 ,培养 信息 深度 应 用 的 意识 和 思维 ,提高 侦查 效率 。 


7.3.1 网 络 数 据 关联 比 对 概述 


关联 : 数据 集中 ,通过 量化 两 个 数据 值 之 间 的 数理 关系 确定 相关 关系 ; 

比 对 ; 在 数据 集中 对 比 两 个 数据 间 的 差异 。 

网 络 数 据 关联 比 对 是 从 海量 的 网 络 数据 中 提取 出 针对 特定 目标 或 者 拥有 共同 特征 的 目 
标 相 关 的 信息 的 技术 。 简 单 地 说 ,就 是 运用 计算 机 对 数据 进行 分 析 , 将 两 组 以 上 同类 型 的 数 
据 集 进行 梳理 ,通过 关联 查询 ,筛选 数据 集 获取 目标 数据 ,又 称 为 “数据 碰撞 ”"。 网 络 数 据 关 
联 比 对 技术 用 于 网 络 犯罪 侦查 的 线索 比 对 和 犯罪 行为 关联 。 

传统 侦查 是 按照 因果 关系 和 数据 结构 的 标准 采集 数据 和 分 析 数 据 。 到 大 数据 时 代 , 侦 
查 人 员 能 分 析 ,运用 几乎 所 有 相关 数据 ,收集 数据 不 必 再 拘泥 于 因果 关系 和 数据 结构 标准 ， 
而 是 根据 相关 性 原则 ,不 仅 采 集结 构 化 数据 ,还 要 采集 半 结 构 化 和 非 结 构 化 数据 。 

数据 关联 比 对 有 助 于 侦查 人 员 全 方位 多 角度 地 思考 分 析 案 情 。 数 据 关联 比 对 不 追求 
精确 性 ,通过 数据 关联 比 对 ,能 将 看 起 来 没有 联系 的 信息 内 在 地 联系 起 来 ,从 而 更 为 全 面 地 
认识 案件 情况 ,可 以 帮助 侦查 人 员 发 现 破案 线索 , 理 清 破案 思路 , 划 定 侦查 范围 。 数 据 关 联 
比 对 还 有 助 于 侦查 人 员 进 一 步 确定 因果 关系 ,从 而 判定 犯罪 原因 和 证 明 犯 罪 。 数 据 关联 比 
对 的 分 析 是 分 析 因果 关系 的 基础 。 数 据 关 联 并 不 意味 着 必然 有 因果 关系 ,但 因果 关系 必然 
导致 数据 关联 。 


7.3.2 网 络 数 据 处 理 技术 


通过 网 络 数据 搜集 获取 的 大 量 数据 ,要 对 其 进行 格式 化 ,才能 进行 数据 关联 比 对 。 在 网 
络 犯罪 侦查 中 ,可 以 用 来 进行 关联 分 析 的 原始 数据 通常 有 各 种 数据 日 志 、 页 面 文件 .邮件 记 
录 、IP 访问 记录 、 服 务 器 运 维 记录 、 好 友 关 系 记 录 等 ,这 些 文件 有 的 是 结构 化 数据 ,有 的 是 半 
结构 化 数据 甚至 非 结 构 化 数据 。 即 便 都 是 结构 化 数据 也 会 存在 数据 存储 格式 各 不 相同 的 情 
况 , 不 同 品牌 的 硬件 .不同 的 软件 产生 的 日 志文 件 都 可 能 有 不 同 的 格式 ,记录 的 数据 项 数量 
和 类 型 都 可 能 不 同 。 每 个 案件 的 具体 情况 也 千差万别 ,需要 根据 案情 建立 分 析 思 路 和 分 析 
模型 ,再 根据 分 析 模 型 ,对 原始 数据 进行 数据 格式 处 理 ,才能 进行 有 效 的 数据 关联 分 析 。 

1. 数据 的 类 型 

网 络 数据 大 致 可 以 划分 为 三 类 : 一 类 存放 在 数据 库 中 ,用 二 维 表 结 构 逻 辑 表示 , 称 为 结 
构 化 数据 ,如 数据 库 .表格 类 的 文件 ; 另 一 类 无 法 用 二 维 逻 辑 表示 ,如 文本 、 图 像 .声音 等 , 称 
为 非 结 构 化 数据 ; 还 有 一 类 较为 特殊 的 文件 , 介 于 结构 化 数据 和 非 结 构 化 数据 之 间 , 称 为 半 
结构 化 数据 , 即 数 据 具 有 一 定 的 结构 性 ,但 较为 松散 、 随 意 \ 不 严格 ,不 能 简单 地 转化 为 二 维 
表 , 如 HTML 文件 .Xml 文件 。 
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严格 来 说 , 半 结 构 化 数据 是 较为 特殊 的 一 种 非 结 构 化 数据 ,内 部 结构 具有 一 定 规律 ,在 
对 其 进行 结构 化 处 理 时 ,处 理 方法 较为 简单 ,处 理 效率 也 明显 优 于 其 他 非 结 构 化 文件 。 在 网 
络 犯罪 侦查 中 ,现场 勘 验 提 取 的 网 页 数据 ,从 网 站 提取 的 用 户 信息 和 日 志 记 录 , 常 呈现 较 明 
显 的 半 结 构 化 数据 特征 ,需要 先 对 其 进行 数据 处 理 , 再 进行 数据 关联 分 析 。 

2. 数据 的 处 理 

数据 关联 比 对 技术 虽然 能 够 提高 侦查 破案 的 效率 ,但 必须 将 待 分 析 数 据 进行 整理 ,转化 
为 符合 分 析 模 型 的 两 组 或 多 组 结构 化 数据 才能 开展 数据 关联 分 析 比 对 ,这 个 阶段 也 称 为 “ 数 
据 清 洗 ”。 开 展 关联 分 析 之 前 ,必须 从 原始 数据 中 梳理 出 A-B 的 直接 关系 ,例如 要 找 出 不 同 
的 网 站 使 用 相同 的 账号 的 人 ,需要 整理 网 站 和 账号 数据 ,通过 网 站 与 账号 关系 碰撞 找 出 同一 
账号 ; 要 找 出 在 同一 网 站 使 用 多 个 “马甲 "的 人 ,可 以 整理 账号 与 密码 数据 碰撞 , 找 出 使 用 同 
一 密码 的 人 。 因 此 无 论 是 使 用 Excel、Access、I2 还 是 其 他 工具 进行 数据 关联 分 析 , 都 需要 
将 数据 整理 成 以 A、B 两 列 数据 为 主要 关系 的 格式 化 文件 。 


数据 处 理工 具 可 以 利用 UltraEdit、Excel 等 字 处 理工 具 或 者 表格 工具 。 


工具 使 用 


Excel 具有 强大 的 格式 化 功能 ,利用 其 提供 的 表格 处 理 和 函数 功能 ,可 以 很 方便 地 完成 
日 志 类 表格 类 的 结构 化 数据 的 处 理 转换 工作 ,也 可 以 从 半 结 构 化 数据 中 直接 提取 逻辑 结构 
强 的 数据 导入 Excel 进行 处 理 。 但 是 Excel 遇 到 大 文件 的 时 候 处 理 效率 明显 下 降 。 

UltraEdit 是 功能 强大 的 文本 编辑 器 ,可 以 编辑 文字 、Hex、ASCII 码 , 可 以 同时 编辑 多 
个 文件 ,即使 开启 很 大 的 文件 速度 也 不 会 变 慢 。UltraEdit 支持 正则 表达 式 ,很 多 时 候 可 以 
利用 搜索 .替换 命令 和 正则 表达 式 相 配合 完成 数据 格式 化 处 理 。 正 则 表达 式 是 指 一 个 用 来 
描述 或 者 匹配 一 系列 符合 某 个 句法 规则 的 字符 串 的 单个 字符 串 。 如 替换 %[^tj 十 十 和 p 为 
空 ,代表 删除 空 行 ; 蔡 换 ^{ 二 * 二 ^}^{ 二 x px 二 ^} 为 空 串 ,代表 去 掉 网 页 文件 中 的 HTML 
TAG; 替换 [^t]j] 十 x* $ 为 空 ,代表 替换 空格 或 Tab 后 的 所 有 字符 为 空 。 利 用 正则 表达 式 可 
以 很 方便 地 完成 侦查 人 员 想 要 的 格式 整理 。 举 一 个 例子 ,侦查 人 员 想 把 如 图 7. 20 所 示 的 数 
据 进行 碰撞 ,首先 需要 这 些 数据 转化 成 一 列 , 只 需要 利用 正则 表达 式 将 "; ”替换 成 “; ^p” 即 
可 ,如 图 7.21 所 示 。 

所 有 结构 化 文本 和 大 部 分 的 半 结 构 化 文本 都 可 以 使 用 以 上 方法 进行 数据 的 格式 化 处 
理 。 复 杂 的 半 结 构 化 信息 和 非 结 构 化 的 文本 通常 需要 根据 具体 情况 通过 观察 总 结 数 据 规 
律 ,然后 再 有 针对 性 地 编写 程序 或 者 利用 数据 抽取 工具 完成 ,本 节 不 做 讨论 。 
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10 20 30 sn en zsno， 
:263977; 78543544; 565446; 65524877; 35413874563; 3554891125; 
1486541564; 6445123574; 264457373; 323544343; 3724521573; 
4564567457; 341231315; 37121682677; 8932435551; 23468134; 


日 


图 7.20 待 处 理 的 原始 数据 


PP 
263977; 
78543544; 
565446; 
65524877; 
35413874563; 
3554891125; 
人 
6445123574; -一 一 一 一 
264457373; - [ETS 
323544343; OCR 
3724521573; ES3 
4564567457; 
341231315; 
37121682677; 
8932435551; 
p3468134; 


国 当前 文件 中 
合 选 定 文字 山 
全 所 有 打开 文件 外 ) 


匹配 大 小 写 @) 
加 正则 表达 式 @): WtraEdit 


图 7.21 利用 正则 表达 式 处 理 后 的 结果 


7.3.3 基本 关联 比 对 方法 


1. Excel 关联 比 对 

Microsoft Excel 是 微软 公司 的 办 公 软 件 Microsoft Office 的 组 件 之 一 . 它 可 以 进行 各 种 
数据 的 处 理 、 统 计 分 析 和 辅助 决策 操作 ,但 能 处 理 的 数据 条 数 不 宜 太 大 , 较 低 版 本 不 能 超过 
65 535 行 ,高 版 本 的 提高 到 了 1 048 576 行 。 由 于 普及 率 较 高 ,可 以 利用 它 进 行 初级 的 关联 
比 对 。 

例如 , 想 碰撞 两 列 不 同 的 数据 ,得 到 其 中 的 共同 的 数据 行 ,操作 方法 如 图 7. 22 所 示 。 

假设 你 的 数据 在 A2:All 和 了 B2:Bll 的 区 域 中 。 用 数组 公式 ,在 D2 输入 数组 公式 , 输 
人 公式 后 ,从 D2 开始 选中 D2:D11, 按 F2 键 ,再 按 Ctrl 十 Shift 十 Enter 键 。 就 得 到 了 想 
要 的 结果 。 可 以 根据 实际 情况 改变 数据 区 域 : 


=IF(ROW (INDIRECT("1:" &ROWS( A2:A11)))<=SUM(— (COUNTIF (B2: B11, A2: A11)> 
0)),INDEX(A2:All,SMALL(IF (COUNTIF(B2:B11, A2: A11), ROW (INDIRECT ("1:" &ROWS 
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(A2: Al1))),"")，ROW (INDIRECT (" 1:" &SUM (一 一 (COUNTIF (B2: Bll, A2: All ) > 


0)))))),""). 
D5 bd 天 | {=IF (ROY (INDIRECT ("1:“&RO¥S(A2:A11)))<=SUN(— (COUNTIF (B2:B11, A2:811) >0)), INDEX (A2:&11, SMF 
A11)>0)))))), *")} 
-4 A 1 = ee 抽 
密码 1 密码 2 相同 密码 


Be baedb3373734604ac9ec6fb972291902 
[3 1d6cB59b6957ed2342976da747d09350 
a 2b605ddf1lb549016299cb51c8788b5eb 
e9674df8ed785fc6c9c49217cf141dcb 
有 el0adc3949ba59abbe56e057f20f883e 
2 ab3251d0f5a7287e09dda2ff769f1709 
8 6dc541249adcd?718363aa7194f57bacd 
0 22ec6b65263d65b213dbecf06269e3fd 
0 44437bl3b7aga7405a760c536cc38753 
11 a80681712ff3c73aced798c9e3ble3cO 


- 


a80681712ff3c73aced798c9e3ble3c0 
d374872a473fb5d8Tb112a45elc4be66 
959864ale50335a8f3f728bf22921985 
e10adc3949ba59abbe56c057f20f883c 
bfb2540993d6c231a3caclbDe8340ad4 
48fcf27fat0dfd0eb374bc31077fafd8 
a238a3d3efd74611692059559e53deee 
5b57249cf314299599682fa656a54a55 
2b605ddflb549016299cb51c8788b5eb 
cbl0f700fded9bb3e3b20424c7678811 


2b605ddflb549016299cb51c8788b5eb 
el0adc3949ba59abbe56e057f20f883e 


图 7.22 利用 Excel 碰撞 数据 


2. Access 关联 比 对 方法 和 语句 

Access 是 Office 系列 软件 中 专门 管理 数据 库 的 应 用 软件 。 它 并 不 需要 数据 库 管 理 者 
具有 专业 的 程序 设计 水 平 , 界 面 友好 ,易于 使 用 ,因此 使 用 较为 广泛 。 

Access 使 用 标准 的 SQL(Structured Query Language, 结 构 化 查询 语言 ) 作 为 它 的 数据 
库 语言 。 一 个 Access 数据 库 中 可 以 包含 表 、 查 询 、 窗 体 、 报 表 、 宏 ,模块 以 及 数据 访问 页 。 不 
同 于 传统 的 桌面 数据 库 ( 如 dBASE、FoxPro、Paradox)，Access 数据 库 使 用 单一 的 * .mdb 
文件 管理 所 有 的 信息 ,这 种 针对 数据 库 集成 的 文件 结构 不 仅 包括 数据 本 身 , 也 包括 其 支持 
对 象 。 

如 何在 Access 数据 库 中 进行 SQL 语句 的 查询 。 一 般 Office 中 都 带 有 Access 的 打开 
工具 ,这 里 以 Office 2010 为 例 进 行 说 明 。 首 先 双 击 打 开 *, mdb 文件 ,再 任意 双击 选择 一 个 
表 。 单 击 “ 创 建 菜 单 进 入 创建 工具 栏 , 在 工具 栏 中 单 击 * 查 询 设 计 ? 按 钮 。 弹 出 “显示 表 ” 窗 
口 , 单 击 “关闭 ?按钮 将 该 窗口 关 掉 。 然 后 单 击 左上 角 的 “SQL 视图 ”按钮 , 便 得 到 SQL 查询 
页 面 ,如 图 7.23 所 示 。 

下 面 介绍 常见 的 Access 数据 库 中 的 查询 分 析 语句 下。 

select * into b from a where 1 二 之 1 语句 的 作用 是 复制 表 ( 只 复制 结构 , 源 表 名 为 a， 
新 表 名 为 b)。 

SELECT * FROM t_user WHERE t_user. name like ' 李 *"' 
查询 。 

SELECT columnl, column2 FROM table_name ORDER BY column2[ DESC |] 中 的 
ORDER BY 是 指定 以 某 个 栏 位 做 排序 .LDESCj] 是 指 从 大 到 小 排列 (降序 ) ,车 没有 指明 , 则 


语句 的 作用 是 进行 模糊 


中 ”详细 的 SQL 语句 介绍 参见 第 7.8 节 。 
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[) EN | 二 | 和 四 BGS 站 9。 3 插入 行 ”全 括 入 列 站 车 丘 性 到 

¥ a5 | 全 L ht 机 六 二 Nhe 昌 BP | ¥ 00 名 We 
这 到 BE | 站 生 委 名 过 二 _ 
结果 喜光 类 型 查询 设置 | 时 未/ 各 总 
国 taride 
国 tdass 
国 tguest 
国 tinfo 
图 tJog 
国 tmsg 
国 torder 
国 tpayinfo 
图 7.23 进入 Access 数据 查询 页 面 
是 从 小 到 大 排列 (升序 )。 


SELECT * FROM tablel ,table2 WHERE tablel. columl 王 table2. columnl 语句 的 作 
用 是 查询 两 个 表格 中 其 中 columnl 值 相同 的 数据 。 

如 果 想 更 高 效率 地 利用 SQL 语句 ,可 以 在 服务 器 上 安装 MS SQL Server 进行 更 复杂 
的 SQL 关联 比 对 。 


7.3.4 网 络 数 据 可 视 化 分 析 


可 视 化 分 析 是 海量 数据 关联 分 析 更 直观 的 方式 ,借助 可 视 化 数据 分 析 平 台 , 可 以 将 数据 
转换 成 图 表 进 行 展 示 ,分 析 , 具 有 形象 直观 一目了然 的 效果 ,尤其 在 多 层次 的 关联 关系 和 关 
系 网 的 分 析 上 ,具备 较 高 的 效率 。 

可 视 化 分 析 目 前 较为 流行 的 分 析 工 具 是 I2, 原 为 英国 情报 分 析 软 件 公司 I2 所 开发 的 
一 系列 可 视 化 情报 分 析 软 件 ,2011 年 被 IBM 公司 收购 ,成 为 IBM 公司 产品 。IBM I2 
Analysts Notebook 系列 产品 是 一 款 专 门 为 调查 、 分 析 、 办 案 人 员 设 计 的 可 视 化 数据 分 析 
软件 ,可 以 将 数据 转化 为 图 形 ,为 分 析 人 员 提 供 直 观 的 实体 关系 图 ,有 助 于 快速 找到 破案 
线索 和 有 价值 的 情报 , 提高 工作 效率 并 帮助 识别 .预测 和 阻止 犯罪 .恐怖 主义 等 活动 。 
图 7.24 展示 了 9。11 事件 发 生 后 美国 政府 收集 了 海量 的 电话 .航班 轮船、 住房 .银行 账目 
往来 数据 ,利用 I2 Analysts Notebook 可 视 化 分 析 工 具 , 最 终 关联 到 该 事件 的 策划 者 本 。 
拉登 。 

这 种 可 视 化 的 展现 和 分 析 极 大 地 提高 了 分 析 调 查 工作 效率 ,具体 表现 在 能 轻易 地 将 
不 同 种 类 的 信息 关联 起 来 ,揭示 数据 中 深层 次 的 关联 ,从 大 量 数据 中 提取 更 多 的 情报 


信息 。 
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Like 了 it Ye Insert Termet Tools Spalysis Batsbares Winder Belp EE 
DMK 旬 名 本 |@QQRQ FF | 日 王 日 | 名 悦 小 大 
和 Ph 二 IIW+- av-A- 目 " 口 -@- 加 -加 > 


COUNTERTERRORISM PLO 
9/11 ATTACKS 


Initial Attack Planning 


图 7.24 12 面 出 的 9. 11 事件 关联 关系 图 


7.3.s 小 结 


本 节 介 绍 了 网 络 数据 关联 比 对 的 概念 .常见 的 数据 关联 比 对 形式 ,展示 了 在 新 的 环境 和 
时 代 下 ,数据 关联 分 析 和 碰撞 对 网 络 犯罪 侦查 的 意义 ; 介绍 了 常见 的 利用 Excel 和 Access 
等 工具 进行 数据 关联 比 对 的 技巧 和 方法 ,同时 对 功能 强大 I2 可 视 化 分 析 软 件 进行 了 介绍 ， 
并 列举 了 使 用 数据 关联 比 对 分 析 破 案 的 实例 。 在 网 络 犯罪 侦查 中 .数据 关联 比 对 技巧 并 不 
是 少数 人 掌握 的 技术 ,通过 工具 的 辅助 ,任何 侦查 员 都 能 够 利用 数据 关联 比 对 技术 在 案件 侦 
破 中 达到 目的 ,以 起 到 重要 的 作用 。 


7.4 网 络 数据 分 析 技 术 


网 络 数据 分 析 技 术 是 网 络 犯罪 侦查 技术 的 核心 。 网 络 犯罪 的 多 样 性 ,决定 了 网 络 犯罪 
分 析 技 术 范 围 广泛 层次 深入 。 网 络 分 析 技 术 分 支 众多 ,包括 日 志 分 析 技 术 、 文 件 分 析 技 术 、 
渗透 技术 、 逆 向 技术 等 。 本 节 从 宏观 角度 曾 述 网 络 分 析 技 术 的 原则 ,流程 和 技术 ,随后 再 分 
类 具体 阐述 网 络 数据 分 析 技术 。 
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7.4.1 网 络 数 据 分 析 的 原则 


分 析 网 络 数据 , 因 工 作 目 的 不 同 、 数 据 类 型 不 同 ,分 析 的 方式 方法 也 多 种 多 样 。 但 总 体 
上 须 遵循 “去 繁 从 简 去 伪 存 真 、 主 次 分 明 、 先 易 后 难 ” 的 原则 。 

1. 去 繁 从 简 

部 分 类 型 的 网 络 数据 是 以 大 容量 日 志 的 形式 存在 的 ,如 服务 器 访问 日 志 、 数 据 库 操 
作 日 志 等 。 对 侦查 有 用 的 数据 淹没 在 大 量 的 无 用 数据 中 ,在 此 类 大 规模 数据 处 理 过 程 
中 ,要 充分 运用 数据 整合 和 数据 清洗 方法 ,将 不 完整 的 数据 、 错 误 的 数据 、 重 复 的 数据 清 
除 ,达到 留存 有 用 数据 的 目的 。 利 用 关联 比 对 技术 ,对 案件 侦查 有 利和 有 用 的 数据 重点 
提取 和 分 析 。 

2. 去 伪 存 真 

海量 的 虚假 和 无 用 数据 大 大 增加 了 侦查 人 员 的 分 析 难 度 。 但 是 任何 工具 都 无 法 取代 侦 
查 人 员 的 分 析 判 断 ,去 伪 存 真 的 目的 是 获取 有 效 数 据 。 如 不 对 虚假 数据 进行 甄别 和 剔除 ,就 
可 能 贻误 战机 ,甚至 造成 侦查 方向 导向 性 错误 的 严重 后 果 。 

3. 主 次 分 明 

侦查 人 员 要 按照 不 同类 型 案件 的 侦查 要 求 , 优 先 选取 对 案件 侦查 有 导向 性 作用 的 网 络 
应 用 进行 数据 分 析 ,以 达到 快速 定位 犯罪 嫌疑 人 真实 信息 .同步 开展 其 他 侦查 工作 的 目的 。 
如 对 利用 网 站 实施 诈骗 的 犯罪 案件 侦查 中 ,要 优先 调 取 能 快速 指向 犯罪 嫌疑 人 所 在 地 的 重 
点 数据 进行 侦查 。 对 与 案件 有 关 , 但 并 非 紧 急需 求 事项 的 数据 ,可 以 放 在 下 一 步 的 工作 中 再 
进行 分 析 。 

4. 先 易 后 难 

由 于 网 络 犯罪 案件 种 类 繁多 ,手法 不 同 , 每 个 侦查 人 员 对 不 同类 型 网 络 数据 的 分 析 方 
法 .技巧 也 不 可 能 完全 掌握 和 精通 。 面 对 陌生 的 犯罪 手法 和 类 型 ,往往 会 有 胆 必 心 理 。 因 此 
在 开展 工作 时 ,侦查 人 员 应 优先 对 自己 所 熟悉 、 擅 长 的 网 络 数据 进行 分 析 。 先 分 析 自 己 所 熟 
知 和 擅长 的 数据 , 既 便于 侦查 人 员 迅 速 介入 案件 侦查 ,克服 心理 障碍 ,又 为 案件 侦办 的 迅速 
启动 和 明确 侦查 方向 提供 了 可 靠 保障 。 


7.4.2 网 络 数 据 分 析 的 类 型 


络 数据 的 分 析 , 按 传输 行为 的 特点 和 分 析 方法 进行 区 分 ,主要 分 为 两 类 。 

. 动态 数据 分 析 

网 络 传输 过 程 中 的 信息 分 析 , 即 动态 数据 分 析 。 动 态 数据 分 析 的 目标 是 传输 的 元 数据 。 
这 些 元 数据 往往 包含 数据 来 源 、 内 容 等 重要 信息 。 正 常情 况 下 ,动态 传输 只 能 在 各 个 网 络 节 
点 留 下 静态 的 日 志 , 元 数据 转瞬 即 逝 ,不 保存 在 存储 设备 中 。 因 此 ,动态 数据 分 析 需 要 在 各 
个 网 络 节点 之 间 进 行 会 话 劫持 ,保存 数据 包 , 通 过 数据 包 的 分 析 解 析出 元 数据 ,获得 攻击 者 
的 更 多 信息 。 


二 司 
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2. 静态 数据 分 析 

数据 还 能 以 静态 方式 保存 在 网 络 各 个 节点 上 ,例如 被 害 者 的 服务 器 、 攻 击 者 的 计算 机 设 
备 、 途 经 的 路 由 器 、 交 换 机 等 电子 设备 中 。 这 类 数据 需要 静态 数据 分 析 。 静 态 数据 分 为 两 
种 : 主动 上 传 的 数据 和 自动 记录 的 数据 。 其 中 ,自动 记录 的 数据 是 计算 机 设备 自动 记录 的 ， 
主要 包括 各 种 日 志 , 日 志 分 析 在 网 络 数据 分 析 中 占据 重要 的 地 位 。 主 动 上 传 的 数据 既 有 攻 
击 者 上 传 到 被 害 人 或 者 网 络 节 点 设备 中 的 各 种 文件 ,包括 后 门 、 木 马 、 病 毒 等 恶意 软件 ,又 有 
新 增 的 权限 或 者 开放 的 服务 。 这 些 数据 是 由 入 侵 者 主动 的 动作 而 形成 的 ,可 能 会 分 散在 用 
户 权限 ` 应 用 程序 权限 和 系统 服务 中 。 按 存储 行为 发 生 与 否 进行 区 分 , 既 有 网 络 传输 层面 的 
信息 分 析 , 也 有 计算 机 存储 系统 的 数据 分 析 。 


7.4.3 网 络 数 据 分 析 的 流程 


开展 网 络 数据 的 分 析 工 作 , 首 先 要 明确 来 源 和 目标 ,确定 “怎么 进来 的 * 干 了 什么 “ 留 
下 了 什么 ”, 解 决 “ 到 哪里 取 数 据 “ 分 析 什 么 数据 ”的 问题 。 网 络 数 据 分 析 工 作 的 流程 要 紧密 
围绕 数据 的 传输 过 程 开展 ,仔细 分 析 所 需 数据 在 网 络 上 的 流转 过 程 ,判断 数据 保存 的 载体 和 
存储 媒介 ,对 保存 的 电子 数据 进行 分 析 , 筛 选 对 案件 侦查 有 作用 的 线索 和 证 据 。 

网 络 犯罪 行为 一 般 的 流程 (以 网 络 为 目标 的 犯罪 行为 ) 为 : 

第 一 ,侵入 者 对 目标 网 站 进行 扫描 ,查找 其 存在 的 漏洞 。 常 见 漏洞 包括 SQL 注入 、 文 件 
上 传 漏洞 等 。 

第 二 ,通过 该 漏洞 在 网 站 服务 器 上 建立 “后 门 (Webshell)”, 通 过 该 后 门 获取 服务 器 操作 
系统 的 权限 。 

第 三 ,利用 系统 权限 直接 下 载 备份 数据 库 ,或 查找 数据 库 链 接 ,将 其 导出 到 本 地 。 

根据 网 络 犯罪 行为 ,网 络 犯罪 侦查 中 网 络 数据 分 析 的 一 般 流 程 如 下 。 

1. 被 害 人 使 用 的 计算 机 系统 

(1) 确定 攻击 的 时 间 范 围 ; 

(2) 分 析 、 恢 复 Web 日 志 、 系 统 日 志和 防火 墙 日 志 等 日 志文 件 

(3) 分 析 上 传 的 木马 文件 ; 

(4) 检查 新 增 的 可 疑 系统 账号 和 其 他 应 用 权限 ; 

(5) 检查 新 增 的 可 疑 服务 ; 

(6) 分 析 数 据 库 ; 

(7) 分 析 与 案情 有 关 的 其 他 信息 。 

2. 网 络 节点 

(1) 检查 网 络 节点 设备 自动 记录 的 日 志 ; 

(2) 检查 网 络 节点 设备 被 上 传 的 文件 ; 

(3) 检查 网 络 节点 设备 被 增加 的 权限 ; 

(4) 检查 网 络 节点 设备 被 开放 的 服务 ; 
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(5) 检查 网 络 节点 的 数据 库 。 

3. 犯罪 嫌疑 人 使 用 的 计算 机 系统 

(1) 分 析 即 时 通讯 信息 ; 

(2) 分 析 电 子 邮件 信息 ; 

(3) 分 析 保 存 的 木马 文件 ; 

(4) 检查 ,分 析 被 入 侵 的 后 门 记录 ; 

(5) 检查 ,分 析 相 关 入 侵 工 具 、 各 类 远程 控制 连接 (RDP、SSH) 工 具 。 

犯罪 嫌疑 人 使 用 的 计算 机 系统 可 能 会 包括 个 人 直接 操作 的 计算 机 、VPN 服务 器 、 跳 板 
服务 器 .在线 存储 空间 、U 盘 、 移 动 硬盘 等 移动 存储 介质 。 


在 某 公 司 计算 机 信息 系统 被 破坏 案 中 ,犯罪 嫌疑 人 发 现 了 该 单位 使 用 的 

写 服务 器 存在 某 一 漏洞 ,随即 使 用 VPN 服务 隐藏 自己 真实 IP 并 侵入 该 公司 计 
算 机 信息 系统 数据 库 , 修 改 相关 字段 以 达到 破坏 目的 ,如 图 7.25 所 示 。 对 该 
案件 开展 侦查 时 ,要 仔细 研究 数据 流转 的 路 径 , 分 析 可 能 留 有 犯罪 嫌疑 人 作 


场景 应 用 案 时 可 能 留存 数据 的 设备 ,评估 接触 这 些 设备 或 者 设备 管理 人 员 获 取 的 数据 
可 能 对 案件 侦查 带 来 的 风险 。 


境外 代理 服务 器 (VPN) 服 务 器 
N 


被 害 公司 计算 机 设备 防火 墙 


és 
司 家 用 路 由 设备 


犯罪 嫌疑 人 使 用 的 计算 机 运营 商 服务 系统 
图 7.25 某 破 坏 计算 机 信息 信息 系统 案 网 络 示 意图 


在 本 案 中 ,犯罪 嫌疑 人 使 用 自己 的 计算 机 经 家 用 路 由 设备 ,连接 了 运营 商 的 服务 系统 ， 
按照 相应 的 计 费 和 服务 策略 接 人 互联 网 后 ,使 用 境外 代理 服务 器 设备 (VPN 服务 器 ) 获 取 了 
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VPN 服务 ,从 而 达到 隐藏 自己 真实 IP 地 址 的 目的 。 最 后 ,嫌疑 人 突破 被 害 系统 的 前 置 防火 


墙 设备 ,进入 计算 机 信息 系统 ,并 实施 破坏 行为 。 
根据 这 个 典型 案例 ,网 络 侵入 的 数据 分 析 的 具体 流程 主要 有 以 下 环节 ， 
(1) 被 害 计 算 机 信息 系统 。 通 过 计算 机 信息 系统 日 志 、 互 联网 服务 日 志 、 上 传 的 文 


件 , 新 增 的 权限 分 析 犯 罪 嫌 疑 人 留 下 的 痕迹 ,并 依据 "去 繁 从 简 、 去 伪 存 真主 次 分 明 、 先 
易 后 难 ” 的 原则 开展 分 析 工 作 , 获 取 下 一 步 工 作 的 线索 ,同时 固定 犯罪 嫌疑 人 作案 的 基本 
证 据 。 

(2) 被 害 单位 的 防火 墙 系统 。 通 过 分 析 防 火 墙 日 志 , 特 别 是 案 发 时 间 段 的 报警 日 志 ,; 
而 分 析 犯 罪 嫌 疑 人 实施 犯罪 的 手法 。 

(3) 境外 代理 服务 器 (VPN 服务 器 )。 通 过 服务 器 所 有 者 和 VPN 服务 的 提供 者 ,查询 、 
分 析 案 发 时 间 段 VPN 的 使 用 日 志 , 以 明确 犯罪 嫌疑 人 可 能 使 用 的 真实 IP 地 址 。 

(4) 网 络 节点 。 通 过 途经 节点 电子 设备 ,例如 路 由 器 、 交 换 设备 等 ,追溯 ,梳理 出 重要 数 
据 , 进 行 关联 分 析 。 

(5) 嫌疑 人 的 电子 设备 。 通 过 对 嫌疑 人 设备 中 的 数据 进行 分 析 , 判 断 侵 入 流程 、 固 定 侵 
和 人 证 据 。 


7.4.4 数字 时 间 分 析 


在 网 络 侦查 中 ,时 间 是 侦查 的 基准 。 案 件 的 焦点 常常 会 集中 到 时 间 问 题 上 ,通过 时 间 ， 
可 以 确定 服务 器 什么 时 候 被 和 人 侵 ,可疑 文 件 什么 时 候 被 上 传 。 由 于 网 络 跨 地 域 ,校正 时 区 和 
时 间 会 对 网 络 数据 产生 影响 ,因此 时 间 分 析 方 法 是 否 正确 、 结 果 是 否 精 确 , 是 保证 网 络 侦查 
整个 过 程 准确 性 的 前 提 。 

1. 时 间 的 基本 知识 

在 计算 机 中 ,在 确认 时 间 的 时 候 , 通 常 包含 两 部 分 : 日 期 (date) 和 时 间 (time) ,而 且 这 二 
者 始终 是 保存 在 一 起 的 。 出 于 利于 理解 的 考虑 ,如 无 特别 指定 ,本 书 中 所 称 的 时 间 都 包括 日 
期 和 时 间 。 讨 论 计算 机 世界 中 的 时 间 , 首 先 要 提 及 天 文学 和 物理 学 中 的 时 间 概 念 。 

(1) GMT(Greenwich Mean Time, 格 林 尼 治平 均 时 ) 时 间 : 由 于 地 球 轨道 并 非 圆 形 , 其 
运行 速度 又 随 着 地 球 与 太阳 的 距离 改变 而 出 现 变 化 ,因此 视 太 阳 时 欠缺 均匀 性 , 视 太阳 日 的 
长 度 同 时 亦 受 到 地 球 自转 轴 相 对 轨道 面 的 倾斜 度 所 影响 。 为 了 纠正 上 述 不 均匀 性 ,天 文学 
家 计算 地 球 非 圆 形 轨 迹 与 极 轴 倾 斜 对 视 太 阳 时 的 效应 。 平 太阳 时 就 是 指 经 修订 后 的 视 太 阳 
时 。 在 本 初子 午 线 (英国 格林 尼 治 子午 线 ) 上 的 平 太阳 时 被 确定 为 格林 尼 治 (GMT)。 

(2) UTC 协调 世界 时 (Universal Time Coordinated): 由 于 地 球 每 天 的 自转 是 不 规则 
的 ,而 且 正在 缓慢 减速 。 所 以 ,格林 尼 治 时 间 CGMT) 已 经 不 再 被 作为 标准 时 间 使 用 。UTC 
是 由 国际 无 线 电 咨询 委员 会 规定 和 推荐 ,并 由 国际 时 间 局 (BIH) 负 责 保持 的 ,由 原子 钟 提 供 
计时 ,以 秒 为 基础 的 时 间 标 度 。UTC 相当 于 本 初子 午 线 ( 即 经 度 0") 上 的 平均 太阳 时 ,UTC 
的 本 质 强调 的 是 比 GMT 更 为 精确 的 世界 时 间 标 准 , 不 过 对 于 大 部 分 应 用 来 说 ,GMT 与 
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UTC 的 功能 与 精确 度 是 没有 差别 的 。 在 本 书 中 ,定义 GMT 时 间 等 于 UTC 时 间 。 

(3) 时 区 (Time Zone): 世界 各 地 原本 各 自 规定 当地 时 间 , 但 随 着 交通 和 通信 的 逐渐 发 
展 , 需 要 一 个 统一 的 时 间 基 准 约定 各 地 的 时 间 。1884 年 的 国际 会 议 上 制定 了 全 球 性 的 标准 
上 时 ,规定 以 英国 伦敦 格林 尼 治 这 个 地 方 为 零度 经 线 的 起 点 ( 亦 称 为 本 初子 午 线 ) ,基准 时 间 为 
格林 尼 治 时 间 (GMT) ,以 地 球 由 西向 东 每 24 小 时 自转 一 周 360" ,规定 每 隔 经 度 15" ,时差 1 
小 时 。 而 每 15" 的 经 线 则 称 为 该 时 区 的 中 央 经 线 ,将 全 球 划分 为 24 个 时 区 ,其 中 包含 23 个 
整 时 区 及 180" 经 线 左 右 两 侧 的 2 个 半 时 区 。 就 全 球 的 时 间 看 ,东经 的 时 间 比 西 经 要 早 。 中 
国 的 时 区 为 GMT 十 8 时 区 。 北 京 时 间 比 GMT/UTC 时 间 晚 8 小 时 ,以 2008 年 1 月 1 日 
00:00 为 例 ,GMT 时 间 是 零点 ,北京 时 间 为 2008 年 1 月 1 日 时 上 8 点 整 。 

(4) 夏 时 制 (Daylight Saving Time) : 夏 时 制 简称 DST, 是 指 在 夏天 太阳 升 起 的 比较 早 
上 时 ,将 时 钟 拨 快 1 小 时 ,以 提早 日 光 的 使 用 ,在 英国 则 称 为 夏令 时 间 (Summer Time)。 在 我 
国 的 某 些 地 区 ,会 使 用 夏 时 制 。 

(5) 本 地 时 间 (Local time): 本 地 时 间 就 是 所 在 地 的 时 间 , 本 地 时 间 基 于 GTM/UTC， 
计算 了 本 地 所 在 时 区 偏差 和 夏 时 制 所 得 出 的 时 间 。 

2. 系统 时 间 

系统 时 间 以 CMOS 时 间作 为 基准 ，CMOS (Complementary Metal Oxide 
Semiconductor, 互 补 金属 氧化 物 ) 是 板 载 的 半导体 芯片 。CMOS 由 主板 的 电池 供电 ,因此 即 
使 系统 掉 电 ,信息 也 不 会 丢失 , 它 依靠 主板 上 的 晶振 计算 时 间 间 隔 ,从 而 保存 当前 时 间 。 很 
多 操作 系统 和 应 用 程序 使 用 0x1A 中 断 访 问 CMOS 时 钟 。CMOS 时 钟 是 操作 系统 的 时 间 
来 源 ,电池 电量 不 足 或 者 晶振 频率 不 准 , 可 能 会 导致 CMOS 时 钟 变 慢 或 者 变 快 ,从 而 影响 操 
作 系 统 的 时 间 。 系 统 时 间 一 般 以 当地 时 间 表 示 。 在 Windows XP 系统 中 ,可 以 使 用 网 络 校 
时 ,通过 网 络 与 Internet 时 间 服 务 器 同步 ,系统 时 间 和 CMOS 时 间 可 以 被 维护 在 一 个 较为 
精确 的 水 平 。 

从 某 种 意义 上 讲 ,.CMOS 时 间 是 所 有 时 间 的 来 源 , 操 作 系 统 读 取 CMOS 时 间作 为 
系统 时 间 ,文件 在 创建 、 修 改 . 访 问 和 网 络 传输 的 时 候 , 是 根据 系统 时 间 进 行 修正 和 存 
储 的 。 

在 Windows NT/2000/XP 系统 中 ,由 注册 表 的 HKEY _Local_Machine\SYSTEM\ 
Select 中 的 Current 键 值 确定 HKEY _Local_Machine\SYSTEMAN ControlSet00 革 〔( 志 一 
Current 键 值 ,一 般 为 1 或 2)\Control\TimeZonelInformation 下 的 键 值 为 当前 用 户 配置 。 

计算 系统 时 区 偏 移 时 , 要 首先 确定 HKEY _Local _Machine/System/Current 
ControlSet/Control/ TimeZonelInformation/ Bias。Bias 是 相对 于 GMT 时 间 的 负 偏 移 量 , 以 
分 钟 数 计 。 而 ActiveTimeBias 是 实行 夏 时 制 的 时 间 偏 移 ( 少 60 分 钟 )。 计 算 当 地 时 间 的 公 
式 为 Local Time 二 UTC-ActiveTimeBias 。 

计算 机 时 区 被 设 为 北京 时 间 (GMT 十 8). 偏 移 量 会 相反 (未 考虑 夏 时 制 .一 480 分 ， 
GMT 一 (一 8) 二 GMT 十 8) ,如 表 7. 3 所 示 。 


216 网 络 犯罪 侦查 


表 7.3 北京 时 区 的 注册 表 内 容 


ActiveTimeBias REG_DWORD 0xfffffe20( 一 480) 
StandardName REG_SZ 中 国标 准时 间 


网 络 的 跨 地 域 性 ,往往 会 产生 时 区 的 偏差 。 尤 其 是 跨国 犯罪 活动 ,例如 ,泰国 使 用 
GMT 十 7 时 区 ,与 北京 时 区 相差 1 小 时 ,在 网 络 数据 分 析 中 要 尤其 注意 。 

3. 文件 时 间 

文件 时 间 (FileTime) 是 数据 在 网 络 传输 中 内 嵌 , 或 者 创建 ,修改 和 访问 时 定义 的 时 间 。 
网 络 犯罪 侦查 中 常 以 嫌疑 人 传输 的 数据 或 者 遗留 的 文件 为 起 点 进行 分 析 , 因 此 了 解 文件 时 
间 是 非常 必要 的 。 以 Windows 为 例 , 文 件 时 间 主 要 有 以 下 格式 。 

1) 32 位 Windows/DOS 文件 时 间 格 式 

32 位 Windows/DOS 时 间 格 式 被 存储 于 32bit(4B) 二 进 制 数据 格式 内 。 适 用 于 大 部 分 
FAT 文件 系统 的 DOS 函数 调用 ,FAT 文件 系统 目录 项 中 的 文件 创建 ,修改 ,访问 的 时 间 就 
是 这 种 数据 结构 。 

2) 64 位 Windows/FILETIME 文件 时 间 格 式 

64 位 Windows/FILETIME 文件 时 间 格 式 @ 是 基于 1601 年 1 月 1 日 00:00:00, 以 
100ns(lns 王 10"s) 递 增 的 UTC 时 间 格 式 。 这 种 格式 应 用 于 NTFS 格式 文件 系统 中 的 
NTFS Master File Table (MFT). 称 为 *“M-A-C 时 间 ” 包 括 存储 文件 建立 时 间 (Created 
Time) 、 最 后 修改 时 间 (Modified Time)、 最 后 访问 时 间 (Accessed Time) 和 MFT 节点 最 后 
修改 时 间 (Entry Modified Time) ,它们 存储 的 是 GMT/UTC 时 间 格 式 。64 位 Windows/ 
FILETIME 文件 时 间 除 了 用 于 文件 属性 时 间 外 ,还 用 于 日 志文 件 , 快 捷 方式 文件 等 多 种 文 
件 格 式 。 

。 创建 时 间 (Created Time.C 时 间 )。 

文件 或 目录 第 一 次 被 创建 或 者 写 到 硬盘 上 的 时 间 , 如 果 文 件 复制 到 其 他 的 地 方 ,创建 时 
间 就 是 复制 的 时 间 , 但 是 移动 文件 ,文件 将 会 保持 原 有 的 创建 时 间 。 

。 修改 时 间 (M 时 间 ) 。 

应 用 软件 对 文件 内 容 作 最 后 修改 的 时 间 ( 打 开 文 件 , 以 任何 方式 编辑 ,然后 写 回 硬盘 )。 
NTFS 中 $DATA、$INDEX_ROOT 和 $INDEX_ALLOCATION 属性 发 生 改 变 会 导致 修 
改 时 间 更 新 ,如 果 文 件 移动 或 复制 到 其 他 的 地 方 , 这 个 时 间 不 变 ; 如 果 改 变 一 个 文件 的 属性 
或 重 命名 ,这 个 时 间 也 不 变 。 


@@ 很 多 资料 (包括 微软 官方 ) 都 将 64 位 Windows/FILETIME 文件 时 间 格 式 称 为 FILETIME。 因 此 FILETIME 
与 64 位 Windows/FILETIME 文件 时 间 格 式 是 一 致 的 。 
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。 访问 时 间 (A 时 间 ) 。 

某 种 操作 最 后 施加 于 文件 上 的 时 间 ,包括 查看 属性 .复制 .用 查看 器 查看 .用 应 用 程序 打 
开 或 打印 ,几乎 所 有 的 操作 都 会 重 置 这 个 时 间 ( 包 括 资源 管理 器 ,但 DIR 命令 不 会 )。 在 
Windows XP/2000/2003 的 NTFS 分 区 中 ,这 个 时 间 不 是 随时 更 新 的 ,访问 更 新 的 开关 在 
NTLM/SYSTEM/ControlSet001/FileSystem 下 的 NtfsDisableLastAccessUpdate,0 为 允 
许 ,1 为 禁止 。 即 使 允许 更 新 ,NTFS 也 是 以 一 小 时 为 间隔 更 新 访问 时 间 。 但 是 在 Windows 
Vista/7/2008 中 ,微软 为 了 提升 性 能 ,禁止 了 访问 时 间 的 更 新 (NtfsDisableLastAccess 
Update 二 1) ,这 并 不 意味 着 访问 时 间 不 会 改变 , 当 文件 被 修改 和 路 卷 移 动 时 ,访问 时 间 仍 然 
会 改变 。 

。 节点 修改 时 间 (Entry Modified Time,E 时 间 ) 。 

NTFS 使 用 数据 流 来 存储 数据 ,在 文件 任何 属性 和 内 容 变化 时 ,相应 的 数据 流 就 被 改 
变 。 在 文件 系统 中 ,数据 流 相 应 的 也 有 一 个 修改 时 间 , 称 为 节点 修改 时 间 。 所 以 NTFS 的 
时 间 也 被 称 为 M-A-C-E 时 间 , 例 如 NTFS 的 时 间 元 数据 存储 在 Master File Table(MFT) 
的 $STANDARD_INFO 和 $FILE_NAME 流 中 。 这 两 个 数据 流 本 身 都 有 节点 修改 时 间 ， 
它们 的 内 容 中 保存 着 M-A-C-E 时 间 。$ FILE_NAME 中 的 时 间 为 Unicode 编码 。 

为 了 减轻 系统 开销 ,文件 的 最 后 访问 时 间 的 更 新 间隔 被 设置 成 最 近 的 一 天 (FAT) 或 最 
近 的 一 小 时 (NTFS) ,因此 需要 注意 ,最 后 访问 时 间 不 是 精确 时 间 , 作 为 证 据 使 用 要 慎重 ， 
M-A-C 时 间 的 更 新 规律 如 表 7.4 所 示 。 

表 7.4 M-A-C 时 间 的 更 新 规律 


文件 系统 创建 时 间 修改 时 间 访问 时 间 
FAT 10ms 2s 1d 
NTFS 100ns 100ns lh 


相对 的 ,UNIX/Linux 下 文件 的 时 间 包 括 最 后 修改 时 间 、 最 近 访 问 时 间 \i 节点 变化 时 
间 , 在 Ext3 下 还 包括 删除 时 间 ( 如 果 没 有 设置 就 为 1970-01-01 00:00: 00)。Mac OS 的 文 
件 时 间 包 括 创 建 时 间 、 修 改 时 间 、 备 份 时 间 和 最 后 检查 时 间 。 


7.4.5 Windows 服务 器 数据 分 析 


20 世纪 90 年 代 中 后 期 ,微软 公司 陆续 推出 了 服务 器 版 本 的 操作 系统 。 因 为 操作 简单 ， 
配置 方便 , Windows 操作 系统 的 服务 器 应 用 非常 广泛 。Windows 服务 器 的 数据 分 析 也 是 要 
从 配置 日志、 文件 .权限 .服务 等 方向 着 手 开始 。 


218 网 络 犯罪 侦查 


分 Windows 服务 器 数据 分 析 工 具 除了 系统 自 带 工具 外 ,更 专业 的 工具 有 
Windows Sysinternals® 和 Cofee® (Computer Online Forensic Evidence 


Extractor) 。 


工具 使 用 


1. 配置 信息 分 析 

作为 网 络 服务 器 的 Windows 系统 一 般 有 Windows Server 2000/Windows Server 2003/ 
Windows Server 2008 等 服务 器 版 本 。 使 用 的 网 站 服务 一 般 为 IS, 数 据 库 为 Microsoft 
SQL Server。 其 配置 方法 和 信息 基本 一 致 。 下 面 以 Windows Server 2003 十 IIS 为 例 , 说 明 
如 何 查 找 Windows 系统 的 网 站 配置 信息 。 

1) IIS 发 布 的 网 站 

网 站 服务 器 可 以 同时 发 布 多 个 网 站 。 一 般 在 “管理 工具 ”一 二 “Internet 信息 服务 (IIS) 
管理 器 "一 二 “网 站 ”菜单 下 可 以 看 到 服务 器 运行 的 网 站 名 称 , 如 图 7. 26 所 示 。 


轿 Internet 信息 服务 (LIS) 管 理 器 .=|9| x 


Internet 信息 服务 机 头 人 [zr 地 址 [端口 | 
日 区 wm-zre27IC3885 Gibi- EE 和 ww. ddd. com. cn * 全 部 未 分 配 * 60 
外 羽 应 用 程序 池 国 广告 系统 ed 正在 运行 。 www addtest. com cn # 全 部 未 分 本 * 80 
[el 
外 全 "em 
广告 系统 
羡 tsb 服务 扩展 


El aE le pal 


图 7.26 发 布 网 站 概览 


2) 网 站 配置 信息 

网 站 具体 的 配置 信息 保存 在 “属性 ”中 。 在 “Internet 信息 服务 (IIS) 管 理 器 ”界面 右 击 要 
检查 的 网 站 , 选择“ 属性” 命令。 在 默认 的 “网 站 ”选项 卡 中 就 可 以 看 到 网 站 的 属性 ,如 
图 7. 27 所 示 。 
(1) 网 站 标识 信息 是 区 别 开 来 而 给 网 站 所 起 的 名 称 或 所 加 的 特殊 性 标志 。 一 般 保存 有 
域名 信息 和 IP 地 址 信息 。 单 击 * 网 站 ?选项 卡 上 的 “网 站 标识 一 之 “高 级 ”按钮 即 可 查看 ,如 
图 7. 28 所 示 。 

(2) 网 站 日 志 目 录 记 录 的 IIS 日 志 的 格式 和 保存 位 置 。 检 查 “ 启 动 日 志 记录 ”是 否 为 选 


DD https://technet. microsoft com/en-us/sysinternals/default 
@ https://cofee. nw3c. org 
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图 7.28 网 站 标识 信息 


中 状态 ,随后 单 击 “ 活 动 日 志 格 式 ” 后 面 的 “属性 ”按钮 。 可 以 看 到 日 志文 件 的 保存 目录 为 
“C:\Windows\System32\LogFiles” ,日 志文 件 名 的 格式 为 前缀 (ex) 十 年 (yy) 十 月 (mm) 十 日 
(dd)”, 如 图 7.29 所 示 。 
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Erm en | 
a 


7.29 IIS 日 志 属性 


(3) 网 站 源 代码 目录 可 在 “ 主 目 录 ” 选 项 卡 中 查看 ,可 以 看 到 网 站 源 代码 保存 在 *C:\ 
Interpub\site”( 系 统 默认 ) 路 径 下 ,如 图 7. 30 所 示 。 


图 7.30 源 代码 目录 


2. 日 志 分 析 
服务 器 操作 系统 上 部 署 并 开放 的 服务 不 同 导致 生成 的 日 志 的 类 型 也 有 所 不 同 。 如 
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Web 服务 .FTP 服务 、VPN 服务 的 服务 器 ,在 Web 应 用 软件 .FTP 应 用 软件 、VPN 应 用 软 
件 中 可 以 生成 相应 日 志 。 

以 IIS 日 志 为 例 ,Internet Information Services(IIS, 互 联网 信息 服务 ) 日 志 的 记录 原理 
概括 为 三 个 步 又 : 

第 一 步 是 服务 请 求 。 用 户 请 求 包含 用 户 端的 众多 信息 ,如 访问 时 间 访问 者 IP 地 址 、 浏 
览 器 类 型 等 。 

第 二 步 是 服务 响应 。Web 服务 器 接收 到 请 求 后 ,按照 用 户 要 求 运行 相 应 的 功能 ,并 将 
信息 返回 给 用 户 。 如 果 出 现 错误 ,将 返回 错误 代码 。 

第 三 步 是 写 信 日志。 服务 器 对 用 户 访问 过 程 中 的 相关 信息 加 以 记录 ,并 以 追加 的 方式 
写 人 到 日 志文 件 中 。 

常见 日 志文 件 的 默认 存储 位 置 为 : 

。 Ftp 日 志 默 认 位 置 为 \system32\logfiles\msftpsvcl。 

。 IIS 日 志 默 认 位 置 为 \system32\logfiles\w3svcl。 

。 Win_apache 日 志 上 默认 存储 位 置 为 由 apache 配置 文件 httpd. conf 的 Visualpath 值 

确定 。 

无 论 是 IIS、Apache, 还 是 其 他 的 Web 服务 ,记录 的 日 志 格 式 大 同 小 异 ,遵循 相关 RFC 
文档 的 定义 ,但 不 同 软件 可 能 自行 定义 的 字段 名 称 不 同 , 在 分 析 时 要 仔细 对 照 该 软件 的 说 明 
文档 。 日 志 中 记载 的 字段 含义 一 般 都 记录 了 访问 者 的 IP 地址、 访问 时 间 ,访问 的 页 面 \ 访 问 
者 的 浏览 器 指纹 信息 ,访问 的 方法 ,Get 方式 提交 的 参数 、 服 务 器 返回 代码 等 信息 。 

需要 说 明 的 是 ,服务 器 的 侵入 者 可 以 较为 容易 地 找到 IIS 的 日 志文 件 ,删除 日 志文 件 以 
抹 去 自己 侵入 的 痕迹 。 此 时 ,在 操作 系统 的 事件 日 志 中 ,有 可 能 存在 来 自 W3SVC 的 警告 信 
息 。 服 务 器 的 管理 者 和 侦查 人 员 可 以 依据 警告 信息 的 生成 时 间 、 警 告 内 容 等 信息 , 反 向 追 
查 , 开 展 系 统 侵入 侦查 工作 。 

服务 器 一 般 (7) X24 小 时 运行 ,日 志 数量 大 ,难以 用 人 工 逐 行 读 取 的 方式 分 析 。 此 时 ， 
要 借助 日 志 分 析 工 具 开 展 分 析 工 作 , 如 Logparser、Faststs Analyzer、Logs2Intrusions 等 。 

3. 权限 / 服务 分 析 

Windows 系统 中 ,权限 指 的 是 不 同 账户 对 文件 .文件 夹 、 注 册 表 等 的 访问 能 力 。 
Windows 的 权限 分 为 用 户 权限 和 文件 权限 。 用 户 权 限 是 Windows 登录 用 户 的 权限 ,在 网 
络 犯 罪 活 动 中 ,侵入 计算 机 信息 系统 要 新 增 用 户 或 者 将 某 个 用 户 权 限 提升 到 管理 员 权 限 ( 俗 
称 提 权 ) ,才能 进一步 地 实施 犯罪 活动 。 

运行 compmgmt. msc( 用 户 权限 查看 ) 命 令 , 查 看 “本 地 用 户 和 组 ”, 如 图 7. 31 所 示 。 

文件 权限 是 指 某 个 文件 允许 以 哪个 用 户 权 限 访 问 ,包括 文件 与 文件 夹 的 权限 。 以 
NTFS 文 件 系 统 为 例 , 根 据 是 否 被 共享 到 网 络 上 ,其 权限 可 以 分 为 NTFS 权限 与 共享 权限 
两 种 。 基 本 的 NTFS 权限 有 完全 控制 ,修改 、 读 取 和 运行 、 列 出 文件 夹 目 录 、 读 取 、 写 人; 共 
享 权限 有 完全 控制 .更改 和 读 取 。 以 NTFS 为 例 ,其 权限 具体 说 明 如 下 。 
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各 计算 机 管理 


文件 昌 ” 援 作 (A) 查看 MW) 。 帮助 (上 


各 中 | 自 辆 | BB 日 国 


名 称 

图 Access Control Assistance Operators 
里 Administrators 

添 Backup Operators 

里 cnyptographic Operators 

国 Distributed COM Users 

组 Event Log Readers 

是 Guests 

图 Hyperv Administrators 

乌 !Is IUsRs 

图 Network Configuration Operators 
钥 Performance Log Users 

蜂 performance Monitor Users 

里 power Users 

里 Remote Desktop Users 

图 Remote Management Users 

篇 Replicator 

师 System Managed Accounts Group 
里 Users 


量 _ vmware_ 


图 7.31 计算 机 管理 -用 户 组 管理 界面 


(1) 完全 控制 (Full Control) 。 
该 权限 允许 用 户 对 文件 夹子 文 件 夹 .文件 进行 全 权 控制 ,如 修改 资源 的 权限 .获取 资源 


的 所 有 者 、 删 除 资源 的 权限 等 ,拥有 完全 控制 权限 就 等 于 拥有 了 其 他 所 有 的 权限 。 


(2) 修改 (Modify) 。 


该 权限 允许 用 户 修改 或 删除 资源 ,同时 让 用 户 拥有 写 入 、 读 取 和 运行 权限 。 
(3) 读 取 和 运行 (Read & Execute) 。 
该 权限 允许 用 户 拥有 读 取 和 列 出 资源 目录 的 权限 ,允许 用 户 在 资源 中 进行 移动 和 遍历 ， 
即使 用 户 没有 权限 访问 这 个 路 径 ,也 能 够 直接 访问 子 文件 夹 与 文件 。 
(4) 列 出 文件 夹 目 录 (List Folder Contents) 。 


该 权限 允许 用 户 查 看 资源 中 的 子 文件 夹 与 文件 名 称 。 


(5) 读 取 (Read) 。 


该 权限 允许 用 户 查看 该 文件 夹 中 的 文件 以 及 子 文件 夹 ,也 允许 查看 该 文件 夹 的 


有 者 和 拥有 的 权限 等 。 
(6) 写 人 (Write) 。 


该 权限 允许 用 户 在 该 文件 夹 中 创建 新 的 文件 和 子 文件 夹 , 也 可 以 改变 文件 夹 的 


看 文件 夹 的 所 有 者 和 权限 等 。 


属 必 


EE、 所 


属性 、 
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4. 服务 

Windows 服务 是 在 Windows 会 话 中 可 长 时 间 运 行 的 可 执行 应 用 程序 。 这 些 服务 可 以 
在 计算 机 启动 时 自动 启动 ,可 以 暂停 和 重新 启动 而 且 不 显示 任何 用 户 界面 。 这 种 服务 非常 
适合 在 服务 器 上 使 用 ,同时 Windows 服务 也 为 恶意 软件 大 开 方 便 之 门 ,恶意 软件 可 以 在 后 
台 以 服务 的 形式 运行 而 不 被 发 现 。 

在 “运行 ”对话 框 (Win 十 D) 中 输入 “Services. msc” ,打开 服务 设置 对 话 框 ,就 可 以 看 到 
每 一 个 服务 都 有 名 称 描述, 状态 .启动 类 型 .登录 身份 .依存 关系 等 属性 ,如 图 7. 32 所 示 。 


文件 (所 作 (A) 查看 VY) 帮助 (H) 
和 中 | 同 | GBIBT ren 


-ee ER 
钨 ActiveX Installer (A.。 为 从 Internet 安装 ActiveX.… 
全 Adaptive Brightness 监视 未 转 光 传 感 各 ,以 检测 
© Adobe Acrobat Up Adobe Acrobat Updater .. 
全 Adobe Flash Playe.。 此 服务 可 使 称 安 装 的 Adob.… 
区 Alipay payment di.。 为 立 付 宇 客 户 潜 提供 服务 , 
入 Alipay security bus-， 为 六 付 会 客户 鱼 提 供 安全 保 - 
Apple Mobile Devi Provides the interface to .. 
我 Application Experi-。 在 应 用 程序 启动 时 为 应 用 程 - 
我 Application ldentity 确定 并 验证 应 用 程 床 的 标识 


险 Application Layer .。 为 Internet 连接 共 扣 提供 第 一 
及 Application Manag.、 为 通过 给 第 格 部 寺 的 软件 处.… 
总 ASP.NET 状 坟 服 务 。 为 ASP.NET 提供 进程 外 会 - 
亿 background Inteli-。 使 用 裤 用 网 络 击 费 在 后 台 传 _ 
© BaiduYunUtility 

全 Base Ftering Engi-。 基本 条 远 引擎 (BFE) 且 一 种 管 - 
侈 BDSGRTP Service 。 百度 安全 防护 服务 

多 BitLocker Drive En.。 8DESVC 承载 BitLocker 要 
人 Block Level Backu.。 Windows 备份 使 用 WBEN.. 
< 


图 7.32 计算 机 管理 -服务 界面 


5. 文件 分 析 

Windows 系统 中 有 些 目录 或 者 文件 ,可 能 会 保存 有 使 用 者 的 痕迹 。 这 些 目 录 和 文件 类 
型 比较 多 ,侵入 者 难以 全 部 删除 。 这 些 痕 迹 对 于 侦查 有 重要 作用 。 

1) 用 户 目 录 

在 Windows 9x/NT 之 后 的 Windows 系统 ,出现 了 一 个 新 的 目录 一 一 用 户 目录 ,如 
表 7.5 所 示 , 用 于 存储 用 户 文件 和 配置 .以 此 区 分 不 同 用 户 的 使 用 环境 和 权限 。 无 论 是 本 地 
用 户 还 是 网 络 用 户 ,第 一 次 登录 系统 ,就 会 为 用 户 生 成 一 个 用 户 目录 。 以 后 每 当 用 户 登 录 
时 ,都 会 加 载 用 户 的 配置 信息 。 用 户 注 销 时 ,会 相应 地 印 载 用 户 的 配置 信息 。 
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表 7.5 不 同 版 本 的 Windows 用 户 目录 


系统 版 本 系统 默认 安装 目录 用 户 目 录 
Windows 9x Windows 无 
Windows NT WINNT WINNT\Profiles 
Windows 2000 WINNT Documents and Settings\ 用 户 名 
Windows XP Windows Documents and Settings\ 用 户 名 
Windows Vista/7/2008/8/10/2013 Windows Users 


用 户 目录 中 包含 了 很 多 重要 文档 ,这 些 文档 对 于 侦查 具有 重要 作用 。 
(1) 最 近 访问 的 文档 


当 用 户 打 开 一 个 目录 或 文件 ,系统 自动 就 在 这 个 最 近 访 问 的 文档 目录 中 生成 一 个 该 文 
档 的 快捷 方式 。 在 开始 菜单 中 ,可 以 通过 “最 近 访 问 的 文档 ”来 查看 最 近 15 个 打开 的 文档 。 
在 Documents and Settings\ 过 用 户 名 二 \Recent 中 ,可 以 看 到 更 多 “最 近 访 问 的 文档 ”的 快 
捷 方式 。 即 使 这 些 文档 已 经 被 删除 或 者 移 走 ,但 是 通过 快捷 方式 ,仍然 可 以 获取 大 量 信息 。 
在 Windows Vista/7 以 后 ,最 近 访 问 的 文档 已 经 被 更 名 为 “最 后 访问 的 位 置 ", 目录 位 于 


NMUsers\ 一 用 户 名 十 \AppData\Roaming\Microsoft\ Windows\Recent。 


“最 近 访 问 的 文档 揭示 了 用 户 最 后 和 最 经 常 使 用 哪些 文档 ,有 助 于 了 解 用 户 习惯 ,可 以 


快速 开展 侦查 工作 ,提取 案件 线索 。 
(2) 桌面 


用 户 目 录 中 有 个 重要 子 目 录 一 一 桌面 目录 。 桌 面目 录 中 保存 了 Windows 桌面 上 的 所 


有 文件 ,不仅 有 快捷 方式 ,还 有 存储 在 桌面 上 的 各 种 文件 。 
以 Windows 7/10 为 例 , 桌 面 上 显示 的 内 容 主 要 来 自 三 个 来 源 。 


。 注册 表 中 的 设置 决定 了 “我 的 文档 “我 的 电脑 “网 上 邻居 “回收 站 ”是 否 显 示 在 桌 


面 上 ， 

。“\Users\ 志 用 户 名 之 \desktop” 目 录 中 存储 的 是 用 户 特 有 的 快捷 方式 和 文件 ; 
。“\Users\Public\desktop” 目 录 中 存储 的 是 每 个 用 户 共 有 的 快捷 方式 和 文件 。 
(3) 我 的 文档 

我 的 文档 存储 着 用 户 的 个 人 文件 ,其 中 包括 “图 片 “ 视 频 ” 等 子 目 录 。 

(4) 发 送 到 目录 


发 送 到 目录 功能 集成 在 右键 快捷 菜单 中 。 用 户 可 以 自 定义 发 送 到 目录 中 的 指向 。 通 过 


研究 这 些 指 向 ,可 以 知道 用 户 经 常 使 用 的 文件 存储 位 置 。 
(5) 临时 目录 


临时 目录 存在 于 “Documents and Settings\ 用 户 名 \Local Setting” 中 ,用 于 文件 临时 存 
放 。 很 多 程序 在 安装 时 ,会 在 临时 目录 中 暂 存 相关 文件 ,在 安装 结束 后 ,不 一 定 会 删除 这 些 


文件 。 因 此 研究 临时 目录 ,可 以 了 解 系统 中 运行 的 程序 。 


第 7 章 网络 犯 罪 侦查 技术 225 


Windows Vista/7/2008 的 临时 目录 位 于 Users\< 用 户 名 >\AppData\Local\Temp. 


(6) 收藏 夹 

收藏 夹 保存 的 是 Internet Explorer 的 快捷 链接 ,扩展 名 为 . url。 人 快捷 链接 的 功能 是 引 
导 到 目标 网 页 上 。 包 括 系统 默认 安装 的 快捷 链接 和 程序 安装 的 快捷 链接 ,用 户 生 成 的 快捷 
链接 则 显示 了 用 户 的 网 络 浏 览 习 惯 。 通 过 分 析 快 捷 链接 ,可 以 了 解 比如 快捷 链接 生成 时 间 
之 类 的 丰富 信息 。 

(7) Cookies 目录 

Cookies 目录 存在 于 用 户 目录 下 ,为 隐藏 属 性 。 在 访问 一 个 网 站 后 .会 在 此 目录 中 保存 
网 站 的 Cookies 文件 ,Cookies 的 目的 是 提高 用 户 浏 览 网 站 的 效率 。 由 于 系统 对 Cookies 的 
信任 ,Cookies 也 会 被 利用 入 侵 或 者 窃取 信息 。 

Cookies 目录 中 通常 有 两 类 文件 : 一 类 是 以 “用 户 名 @ 网 站 名 . txt” 命 名 的 TXT 文件 ， 
另 一 类 是 index. dat 文件 。 二 者 都 保存 了 访问 网 站 的 信息 。 但 是 TXT 文件 是 真正 起 作用 
的 Cookies 文件 ,其 中 包括 了 建立 时 间 和 过 期 时 间 。 

Cookies 存储 路 径 如 表 7.6 所 示 。 

表 7.6 不 同系 统 下 的 Cookies 存储 路 径 


操作 系统 Cookies 路 径 

Windows 95/98/ME C:\Windows\Cookies 

Windows 2000/XP C:\Documents and Settings\<username>\Cookies 
C:\Users\ 一 username 二 \AppData\Roaming\Microsoft\ Windows 

2 \Cookies 

Windows Vista/7/2008/8/10/2013 
C:\Users\ 一 username 二 \AppData\Roaming\Microsoft\ Windows 
\Cookies\Low 


注意 ; Windows Vista/7 的 Cookies 可 能 会 保存 在 两 个 地 方 ,根据 UACC (User 
Account Control, 用 户 账户 控制 ) 的 设置 。Cookies 可 能 会 保存 在 这 两 个 地 方 中 的 任何 一 
个 。 因 此 在 检查 时 ,要 注意 哪 一 个 是 启用 的 Cookies 目录 。 


Cookies 的 调查 工具 可 以 使 用 nirsoft 的 IECookiesView。 


工具 使 用 


(8) 浏览 器 指纹 
只 要 用 户 基于 HTTP 协议 访问 某 网 站 ,浏览 器 就 会 将 某 些 信 息 交 送 网 站 的 服务 器 ， 
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Web 网 站 的 服务 器 借 此 可 以 获取 与 用 户 浏 览 器 相关 的 信息 。 

各 大 浏览 器 往往 都 有 独特 的 隐私 策略 和 安全 机 制 ,都 在 不 断 提升 安全 标准 与 隐私 策略 。 
但 泄露 用 户 隐 私 的 风险 仍然 存在 ,同时 也 会 暴露 用 户 使 用 互联 网 的 一 些 特征 和 痕迹 ,例如 ， 
根据 “浏览 历史 ”可 以 得 知 用 户 经 常 上 什么 网 站 。 类 似 于 “刑事 侦查 ”领域 的 指纹 ,浏览 器 上 
也 会 存在 “指纹 ”, 即 “浏览 器 指纹 ”。 

指纹 代表 特征 , 当 这 个 特征 非常 独特 时 ,所 能 提示 的 信息 量 也 就 更 大 ,也 就 可 能 将 浏览 
器 用 户 缩小 到 更 小 的 范围 。Electronic Frontier Foundation(EFF)O 在 对 一 百 万 测试 用 户 的 
统计 中 发 现 ,83.6% 的 浏览 器 拥有 唯一 的 指纹 信息 ,如 果 用 户 安装 了 Flash 或 Java 插件 , 那 
么 这 一 数字 将 上 升 至 94. 2% 

与 cookies 不 同 ,cookies 存储 在 浏览 器 端 ,清空 浏览 器 的 cookies 可 以 使 网 站 无 法 判断 
用 户 的 身份 ,而 浏览 器 指纹 则 记录 在 服务 器 端 ,用 户 无 法 清除 ,甚至 无 法 判断 所 访问 的 网 站 
是 否 收集 了 浏览 器 指纹 。 一 旦 网 站 记录 了 浏览 器 指纹 ,无 论 用 户 删除 cookies 还 是 使 用 多 
个 账号 ,由 于 使 用 了 同一 个 浏览 器 ,网 站 服务 器 都 可 以 识别 出 是 相同 用 户 登录 了 网 站 。 

浏览 器 暴露 的 信息 中 ,常见 的 有 以 下 几 种 。 

。 User Agent。 

User Agent( 简 称 UA) 是 HTTP 协议 中 头 域 的 组 成 部 分 ,是 客户 端 浏 览 器 等 应 用 程序 
使 用 的 一 种 特殊 的 网 络 协议 。 在 每 次 浏览 器 提出 HTTP 请 求 时 ,向 所 访问 的 网 站 服务 器 提 
供用 户 所 使 用 的 浏览 器 类 型 .操作 系统 及 版 本 .CPU 类 型 .浏览 器 泻 染 引擎 .浏览 器 语言 、 浏 
览 器 插件 等 信息 。 

Internet Explorer 10 的 UA 字符 串 表 示 为 图 7. 33。 


程序 名 称 和 版 本 [一 版 本 标识 。 。 
区 [到 


Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.2; Trident/6.0) 
ES Trident 深 染 引 擎 
一 一 一 兼容 标记 -一 人 


图 7.33 Internet Explorer 10 的 UA 字符 串 


默认 的 User Agent 是 可 以 更 改 的 ,例如 将 PC 上 网 的 浏览 器 类 型 改 成 手机 上 网 。 

。HTTP ACCEPT。 

HTTP ACCEPT 是 HTTP 协议 头 中 的 一 个 字段 。 当 用 户 打 开 一 个 网 页 时 ,浏览 器 要 
向 网 站 服务 器 发 送 一 个 HTTP 请 求 头 ,网 站 服务 器 根据 HTTP 请 求 头 的 内 容 生成 当 次 请 
求 的 内 容 发 送 给 浏览 器 。 例 如 ,HTTP_ACCEPT Headers 的 值 为 


text/html, */* gzip, deflate, sdch zh 一 CN,zh;q 一 0.8 


DD http://www. eff.org 
@ Fingerprinting[LEB/OL].https://wiki. mozilla. org/Fingerprinting# User_Agent 
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表示 浏览 器 支持 的 MIME 类 型 优先 是 text/html 和 x* /x* ,浏览 支持 的 压缩 编码 是 gzip、 
deflate 和 sdch. 浏 览 器 支持 的 语言 是 中 文 简体 和 中 文 ,优先 支持 中 文 。 

。 插件 信息 。 

插件 信息 表明 浏览 器 安装 了 哪些 插件 (plugin) ,如 在 某 一 浏览 器 插件 信息 中 的 两 条 显 
示 为 

Plugin 4: AliWangWang Plug-In For Firefox and Netscape; npwangwang; 
npwangwang. dll; (npwangwang; application/ww-plugin; dll). 

Plugin 5: Alipay Security Control 3; Alipay Security Control; npAliSecCtrl. dll; 
(npAliSecCtrl. dll; application/ x-alisecctrl-plugin; *). 
即 表示 该 浏览 器 安装 了 阿里 旺旺 和 支付 宝 插件 。 

浏览 器 还 可 以 提供 其 他 信息 ,也 可 以 成 为 "浏览 器 指纹 ”, 每 一 项 指纹 的 信息 量 有 所 不 
同 , 信 息 量 越 大 则 说 明 此 项 指纹 越 独特 ,也 说 明 这 项 指纹 对 于 用 户 隐 私 的 威胁 越 大 。 当 综合 
了 多 个 指纹 信息 后 ,锁定 用 户 的 概率 也 随 之 变 大 。 

(9) IE 历史 记录 目录 

历史 记录 目录 存在 于 用 户 目录 的 Local Setting 子 目 录 下 。 其 中 保存 着 用 户 浏览 网 站 
的 历史 信息 ,如 表 7.7 所 示 。 可 以 通过 IE 浏览 器 的 历史 记录 功能 查看 。 默 认 保持 历史 记录 
是 20 天 。 实 际 记 录 存 储 在 index. dat 文件 中 。 

表 7.7 不 同系 统 下 的 下 历史 记录 
操作 系统 历史 记录 路 径 
Windows 2000/ XP \Documents and Settings\Local Settings\ History 

\Users\=< user> \AppData\ Local\ Microsoft\ Windows\ History\ 
History. IE5 


\Users\< user>\AppData\ Local\ Microsoft\ Windows\ History\ 
Low\ History. IE5 


Windows Vista/7/2008/8/10/2013 


(10) IE Cache 

Internet 历史 文件 位 于 用 户 目 录 的 Local Setting 目录 中 ,用 于 保存 IE 访问 Internet 的 
缓存 信息 和 文件 ,如 表 7.8 所 示 。 它 的 功能 是 当 用 户 再 次 访问 同一 网 站 时 ,如 果 网 站 没有 大 
的 变动 ,不 必 重 复 下 载 网 站 的 图 片 和 页 面 信息 ,从 而 提高 浏览 速度 。 在 这 个 目录 中 ,也 有 
index. dat 文件 。 它 保存 在 子 目 录 Content. IE5 中 。 

Internet 历史 文件 目录 不 但 保存 着 IE 的 历史 记录 ,而 且 还 是 Outlook 的 附件 缓存 目 
录 , 在 Outlook 打开 附件 时 ,会 在 Internet 历史 文件 目录 中 生成 一 个 以 OLK 开头 ,附加 一 系 
列 随机 字母 的 目录 ,其 中 保存 着 附件 。 在 这 个 目录 中 .还 可 以 找到 Outlook Express 和 
Hotmail 的 附件 信息 。 
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表 7.8 不 同 操作 系统 下 的 IE Cache 


Windows 2000/XP Windows Vista/7/2008/8/10/2013 


\ Documents and Settings \ LocalSettings \ | \Users\ 一 user 二 \AppData\Local\ Microsoft\ Windows\ 


Temporary Internet Files Temporary Internet Files 


(11) 最 近 打 开 的 Office 文档 

Users\ 二 user name 二 \AppData\Roaming\Microsoft\Office\Recent 中 保存 的 是 最 近 
打开 的 Office 文档 的 快捷 方式 。 

2) 交换 文件 (Swap file) 

当 内 存 少 于 系统 应 用 的 需求 时 ,系统 会 生成 一 个 交换 文件 暂 存 内 存 数据 ,以 释放 部 分 内 
存 进 行 应 用 。 这 个 交换 文件 又 叫 作 页 文件 (Pagefile. sys), 它 存在 于 根 目录 中 。 交 换文 件 通 
常会 很 大 ,其 至 会 超过 内 存 容量 。 

一 般 来 说 ,侦查 人 员 面 对 的 都 是 断 电 之 后 获取 的 介质 ,也 就 是 检查 对 象 都 是 静态 的 存 
储 。 动 态 的 内 存 数 据 因为 断 电 而 不 复 存 在 。 交 换文 件 可 以 部 分 地 解决 这 个 问题 ,通过 检查 
交换 文件 ,可 以 获取 文件 碎片 进行 分 析 。 

3) 休 眼 文件 (Hibernation File) 

休眠 文件 是 另 一 个 获得 内 存 数据 的 来 源 。Windows XP 以 后 的 系统 都 支持 休 眼 功能 。 
计算 机 进入 休眠 状态 后 ,内 存 被 转 储 到 硬盘 上 的 休眠 文件 中 ,以 便于 系统 被 唤醒 时 迅速 进入 
系统 而 不 必 重 新 加 载 。 休 眠 文件 保存 在 系统 根 目录 中 的 hiberfil. sys 中 ,保存 有 内 存 的 数 
据 , 可 以 从 中 提取 用 户 密码 、 正 在 运行 的 程序 或 者 文件 。 因 为 是 将 内 存 数据 完全 镜像 于 休眠 
文件 中 ,因此 休眠 文件 的 大 小 等 同 于 系统 内 存 了 


7.4.6 UNIX Linux 服务 器 数据 分 析 


曾 有 一 项 非 官方 的 统计 数据 称 :“1998 年 ,全 球 前 500 台 超 级 计算 机 中 还 只 有 1 台 运 行 
Linux。 今 天 在 全 球 前 500 台 超 级 计算 机 中 ,有 413 台 选 用 Linux。” 虽 然 该 项 调查 的 数据 未 
必 准 确 , 但 UNIX/Linux 操作 系统 (主要 是 Linux 操作 系统 ) 在 服务 器 操作 系统 中 独霸 江山 
的 地 位 是 不 言 而 喻 的 。 作 为 服务 器 应 用 操作 系统 ,UNIX/Linux 因为 其 较 强 的 可 扩展 性 、 良 
好 的 稳定 性 .可 靠 的 安全 性 、 跨 平台 的 硬件 支持 ,而 被 广泛 使 用 着 。 

UNIX/Linux 系统 拥有 非常 灵活 和 强大 的 日 志 功 能 ,可 以 保存 几乎 所 有 的 操作 记录 ,并 
可 以 从 中 检索 出 侦查 人 员 需 要 的 信息 。 

1，UNIX Linux 系统 文件 结构 

系统 文件 结构 指 的 是 操作 系统 和 应 用 如 何 组 织 和 使 用 目录 和 文件 的 体系 , 自 UNIX 系 
统 发 明 以 来 ,其 文件 组 织 和 使 用 结构 基本 没有 变化 。 


中 ”即使 系统 从 未 进入 休眠 状态 ,休眠 文件 也 将 存在 ,只 不 过 数据 都 为 0x00。 
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UNIX/Linux 使 用 标准 的 树 形 目录 结构 ,只 有 一 个 根 目录 ,相对 而 言 , Windows 采用 的 
则 是 多 分 区 根 目录 开始 的 结构 。UNIX/Linux 对 分 区 和 外 设 的 处 理 都 是 将 其 挂 在 目录 树 的 
某 一 个 分 支 上 ,所 以 这 棵 树 中 的 节点 可 能 来 自 不 同 的 分 区 、 不 同 的 存储 介质 不 同 的 文件 系 
统 甚至 不 同 的 主机 。UNIX/Linux 通过 虚拟 文件 系统 (VFS) 技 术 应 用 程序 可 以 采用 统一 的 
方式 访问 不 同 的 类 型 的 文件 实体 。 

图 7.34 是 UNIX/Linux 系统 中 典型 的 目录 结构 ,为 了 存储 和 系统 使 用 的 优化 ,不 同 的 
目录 可 能 来 自 不 同 的 介质 和 分 区 ,但 是 在 系统 和 应 用 程序 看 来 ,没有 任何 区 别 。 


图 7.34 UNIX/Linux 系统 典型 目录 结构 


UNIX/Linux 采用 约定 俗 成 的 方式 使 用 这 些 知名 的 目录 ,在 不 同 的 发 行 版 和 系统 中 它 
们 都 具有 类 似 的 功能 和 权限 设置 ,如 表 7.9 所 示 下 。 


表 7.9 UNIX 一 级 目录 说 明 


目录 名 称 文件 /功能 /说 明 

/bin 供 所 有 用 户 使 用 的 基本 命令 ,cp \ls 等 保存 在 该 目录 中 

/boot 系统 引导 核心 和 配置 文件 等 

/etc 系统 和 应 用 程序 的 配置 文件 ,例如 ,/etc/passwd 保存 的 是 用 户 信息 

/dev 包含 所 有 的 系统 设备 文件 

/home 普通 用 户 的 个 人 文件 ,每 个 用 户 有 一 个 目录 ,用 户 在 自己 的 目录 里 具有 完整 的 权限 
/lib 存放 着 系统 最 基本 的 共享 链接 库 和 内 核 模块 

/mnt 用 于 挂 载 文件 系统 的 地 方 

/root 系统 超级 用 户 的 主 目录 

/sbin 供 超 级 用 户 使 用 的 命令 ,多 是 系统 管理 命令 ,如 fsck、reboot 等 

/tmp 保存 临时 文件 ,所 有 用 户 可 以 在 这 里 创建 ,编辑 文件 ,但 只 有 文件 拥有 者 才能 删除 文件 
/usr 静态 的 用 户 级 应 用 程序 

/var 动态 的 程序 数据 ,目录 中 包括 一 些 数据 文件 ,如 系统 日 志 等 

/proc 存在 于 内 存 中 的 虚拟 文件 系统 ,开机 情况 下 才 有 ,里 面 保存 了 内 核 和 进程 的 状态 信息 等 


中 ”详细 内 容 可 参见 人 Linux 系统 架构 与 目录 解析 》.http://book. douban. com/subject/3592797/ 
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2. 命令 行 工具 

涉案 的 UNIX/Linux 系统 以 服务 器 为 主 ,经 常 处 于 远程 或 不 能 关机 的 状态 ,所 以 经 常 
需要 在 开机 运行 的 情况 下 进行 侦查 。UNIX/Linux 提供 了 强大 的 基于 命令 行 的 工具 集 , 在 
机 分 析 的 过 程 中 如 果 可 以 有 效 地 使 用 这 些 命 令 行 工具 ,对 于 侦查 工作 的 进行 往往 具有 事 
半 功 倍 的 效果 。 

shell 是 一 种 命令 解释 器 , 它 提 供 了 用 户 和 操作 系统 之 间 的 交互 接口 。shell 可 以 执行 
Linux 的 系统 内 部 命令 ,也 可 以 执行 应 用 程序 。 熟 练 的 调查 人 员 还 可 以 利用 shell 编程 , 执 
行 复杂 的 现场 分 析 工 作 。 

UNIX 下 较 常 用 的 shell 有 Bourne Shell(bsh)、C Shell(Ccsh) 和 Korn Shell(ksh) 等 ,在 
Linux 下 最 常用 的 是 bash, 是 bsh 的 升级 版 本 。 各 种 shell 提供 的 功能 是 类 似 的 ,在 使 用 习 
惯 和 内 部 命令 上 会 有 一 些 差异 。 

表 7. 10 列 出 了 一 些 开 机 分 析 时 可 能 会 用 到 的 命令 ,有 些 指令 的 执行 需要 超级 用 户 权 
限 。 另 外 ,这 些 命令 主要 适用 于 Linux 环境 ,UNIX 环境 下 的 命令 会 有 所 不 同 。 


表 7.10 Linux 开机 分 析 常 用 命令 


命 令 功能 描述 
uname -a 查看 内 核 /操作 系统 /CPU 信息 
cat /etc/issue 查看 操作 系统 版 本 
hostname 查看 计算 机 名 
lsusb 列 出 所 有 USB 设备 
lsmod 列 出 加 载 的 内 核 模块 
env 查看 环境 变量 
cat /proc/meminfo 查看 内 存 和 交换 区 情况 
df -h 查看 各 分 区 使 用 情况 
du -sh 二 目录 名 二 查看 指定 目录 的 大 小 
uptime 查看 系统 运行 时 间 、 用 户 数 、 负 载 
mount | column -t 查看 挂 载 点 的 情况 
fdisk -1 查看 指定 设备 的 分 区 情况 
swapon -s 查看 所 有 交换 分 区 
dmesg 显示 系统 启动 的 过 程 信息 
ifconfig 查看 所 有 网 络 接口 的 属性 
iptables -L 查看 防火 墙 设置 
route -n 查看 路 由 表 信息 
netstat -antp 查看 所 有 监听 端口 和 建立 的 连接 
netstat -s 查看 网 络 统计 信息 
ps -ef 查看 所 有 进程 
top 实时 显示 进程 状态 
w 查看 当前 登录 的 活动 用 户 
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续 表 
命 令 功能 描述 
id 二 用 户 名 > 之 查看 指定 用 户 的 信息 
last 查看 用 户 登 录 日 志 
cut -d: -fl /etc/passwd 查看 系统 所 有 用 户 
cut -d: -fl /etc/group 查看 系统 所 有 组 
crontab -| 查看 当前 用 户 的 计划 任务 
service 一 一 status-all 列 出 所 有 系统 服务 


3. 日 志 分 析 

配置 好 的 UNIX/Linux 的 日 志 非 常 强大 ,可 以 为 侦查 提供 足够 的 信息 。 传 统 的 UNIX 
系统 以 及 老 版 本 的 Linux 使 用 syslog 进行 日 志 管理 。 虽 然 syslog 的 功能 十 分 强大 ,但 是 随 
着 时 间 的 推移 ,在 功能 和 性 能 方面 逐渐 无 法 满足 进一步 的 要 求 。 于 是 出 现 了 rsyslog 和 
syslog-ng。 由 于 rsyslog 更 加 开放 ,近年 来 的 一 些 Linux 发 行 版 都 已 选用 rsyslog 作为 缺 省 
的 日 志 管 理工 具 。rsyslog 兼容 syslog 协议 ,所 以 仍 可 将 它们 视 为 同一 个 工具 族 。 

图 7. 35 表明 ,rsyslog 可 以 将 进程 .文件 .系统 等 各 种 日 志 信息 保存 到 本 地 文件 .远程 日 
志 系 统 、 消 息 队列 数据 库 中 。Syslog 的 区 别 在 于 输入 、 传 输 、 输 出 格式 没有 rsyslog 支持 
的 多 。 


图 7.35 rsyslog 功能 示意 图 


对 于 单机 系统 来 说 ,最 常用 的 还 是 将 各 种 信息 记录 到 本 地 日 志文 件 。 如 果 是 一 个 网 络 
调查 环境 , 则 日 志 可 能 会 记录 到 远程 日 志 服 务 器 。 各 种 日 志 信息 的 记录 位 置 可 以 通过 分 析 
/etc/rsyslog. conf 配置 文件 找到 。V/etc/rsyslog. conf 的 重要 配置 如 下 : 
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。 日 志保 存 目录 ,Linux 通过 syslog 配置 的 系统 和 应 用 日 志 主 要 保存 在 /var/log 目 
录 中 ; 

。 日 志 有 不 同 的 类 型 ,不 同类 型 的 日 志 可 以 聚集 在 一 起 ,也 可 以 分 别 记录 ; 

。 日 志 有 不 同 的 级 别 ,可 以 分 别 定 义 和 保 存 , 日 志 级 别 可 包括 debug( 调 试 信息 ) ,info 
(常用 信息 ) ,notice( 重 要 通知 ) warning( 警 告 ) .err( 错 误 ) .crit( 严 重 错误 ) 等 级 别 。 

rsyslog 可 以 将 日 志 发 送 到 远程 日 志 服 务 器 .也 可 以 接收 其 他 系统 发 过 来 的 日 志 。 

4. 权限 和 服务 分 析 


1) 用 户 权限 /登录 信息 
UNIX/Linux 系统 提供 了 who( 如 图 7. 36 所 示 )、w( 如 图 7. 37 所 示 ) 等 命令 查看 用 户 


登录 信息 。who 命令 主要 用 于 查看 当前 登录 的 用 户 情况 ; w 用 于 查看 登录 到 系统 的 用 户 情 
况 , 但 是 功能 更 加 强大 ,除了 可 以 显示 当前 用 户 登 录 的 系统 信息 ,还 可 以 显示 出 这 些 用 户 正 
在 调用 的 进程 信息 从 而 分 析 用 户 正 在 进行 哪些 活动 ,可 以 简单 地 将 w 理解 为 是 who 的 增强 


版 命令 工具 。 


7. 36 who 命令 查看 登录 用 户 信息 


7.37 w 命令 查看 登录 用 户 信息 


2) 网 络 连 接 
与 Windows 系统 相同 ,UNIX/Linux 系统 中 也 内 置 了 netstat 命令 行 工 具 , 通 过 该 工具 


可 查看 网 络 连 接 。netstat 的 主要 功能 包括 显示 当前 系统 的 网 络 连接 .路 由 表 、 网 络 接口 状 
态 等 信息 。 
netstat 的 常用 参数 如 下 : 
。 列 出 所 有 网 络 连接 : netstat -a( 如 图 7. 38 所 示 ) 
。 列 出 所 有 TCP 网 络 连接 : netstat -at( 如 图 7. 39 所 示 ) 


$ netstat -a 
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Active Internet connections (servers and established) 


Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 enlightened:domain 瑟 3 生 LISTEN 
tcp 0 0 localhost:ipp die LISTEN 
tcp 0 0 enlightened.local:54750 1i240-5.members.1i:http ESTABLISHED 
tcp 0 0 enlightened.local:49980 del01s07-in-f14.1:https ESTABLISHED 
tcp6 0 0 ip6-localhost:ipp LISTEN 
udp 0 0 enlightened:domain ps 
udp 0 0 *:bootpc we 
udp 0 0 enlightened.local:ntp +:* 
udp 0 0 localhost:ntp De 
udp 0 0 *:ntp i 
udp 0 0“:58570 呈 5 昌 
udp 0 0 *:mdns 二 
uap 0 0 *:49459 党 训 
图 7.38 列 出 所 有 网 络 连接 
$ netstat -at 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 
tcp 0 0 enlightened:domain 二 3 LISTEN 
tcp 0 0 localhost:ipp ww LISTEN 
tcp 0 0 enlightened.local:36310 del01s07-in-£f24.1:https ESTABLISHED 
tcp 0 0 enlightened.local1:45038 a96-17-181-10.depl:http ESTABLISHED 
tecp 0 0 enlightened.local:37892 ABTS-North-static-:http ESTABLISHED 
图 7.39 列 出 所 有 TCP 网 络 连接 
。 列 出 所 有 UDP 网 络 连接 : netstat -ap 


。 禁用 反 向 域名 解析 ,加 快 查询 速度 : netstat -ant 
。 获取 进程 名 、 进 程 号 以 及 用 户 ID: netstat -nlpt 
。 只 列 出 监听 中 的 连接 : netstat -tnl 


。 显示 内 核 路 


信息 : netstat -rn 


。 打印 网 络 接口 : netstat -i 
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。 打印 active 状态 的 连接 : netstat -atnp | grep ESTABLISHED 

。 查看 特定 的 服务 是 否 运行 中 : netstat -aple | grep ntp (查看 NTP 服务 ) 

3) 系统 进程 

ps 是 UNIX/Linux 系统 中 查看 系统 进程 的 常用 工具 。 一 旦 发 现 UNIX/Linux 系统 有 
异常 (例如 ,有 可 疑 的 黑客 入 侵 现象 ) ,那么 可 通过 远程 或 登录 本 地 计算 机 ,使 用 命令 行 ps 查 
看 当前 系统 的 所 有 运行 进程 情况 ,分 析 可 疑 进 程 。 

例 7-1 命令 ps aux 列举 系统 所 有 进程 ,如 图 7.40 所 示 。 


图 7.40 ps 命令 查看 系统 所 有 进程 


例 7-2 命令 “ps -U root - uroot -N "列举 所 有 非 root 进程 ,如 图 7.41 所 示 。 


7.41 ps 命令 查看 系统 所 有 非 root 进程 
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5. 文件 分 析 

1) 文件 查找 (find) 

find 命令 可 用 来 在 某 一 目录 中 递归 查找 具有 指定 特征 的 文件 ,是 开机 分 析 过 程 中 的 常 
目 命令 。find 命令 可 以 和 其 他 命令 结合 ,在 查找 的 同时 完成 复制 等 操作 ,节省 侦查 取证 的 
了 间 。 

在 UNIX/Linux 系统 中 ,find 命令 的 一 般 形 式 为 


find [—H] [一 器 [一 P] [一 D debugopts] [一 OleveD [path...] [expression] 


下 面 还 是 以 一 些 例子 说 明 find 命令 的 典型 用 途 : 

»。 find /etc -name "passwd * " -exec grep "land" {() \; 

在 /etc 目录 下 找 出 所 有 文件 名 以 passwd 开头 的 文件 ,然后 通过 grep 命令 找 出 其 中 
land 用 户 的 信息 ; 

。， find . -name "[A-Z]*" -print 

在 当前 目录 及 子 目 录 中 查找 文件 名 以 一 个 大 写字 母 开 头 的 文件 ; 

*。 find . -perm 755 -print 

在 当前 目录 下 查找 文件 权限 为 755 的 文件 , 即 文件 属 主 可 以 读 、 写 .执行 ,其 他 用 户 可 以 
读 、 执 行 的 文件 ; 

。， find /etc -user land -print 

在 /etc 目录 下 查找 文件 属 主 为 land 的 文件 ; 

。， find /home/ -type f -mtime -1 -name " x .exe" 

在 /home 目录 中 找 出 所 有 修改 时 间 在 1 天内、 扩展 名 为 exe 的 文件 。 

2) 文件 内 容 搜索 (grep) 

grep 是 Linux 中 很 常用 的 一 个 命令 ,主要 功能 是 进行 字符 串 数据 的 比 对 ,支持 使 用 正 
则 表达 式 搜 索 文本 ,并 将 符合 要 求 的 字符 串 打 印 出 来 。grep 可 以 对 文件 内 容 进行 搜索 比 
对 ,也 可 以 应 用 在 管道 中 对 其 他 工具 的 输出 行进 行 过 滤 。 网 络 分 析 过 程 中 经 要 对 文件 
内 容 进 行 查找 和 定位 。 

grep 命令 的 格式 大 致 如 图 7.42 所 示 , 可 以 设置 多 个 选项 参数 (OPTION) ,如 表 7. 11 所 
示 , 使 用 指定 的 模式 (PATTERN) 在 管道 .输入 或 多 个 文件 中 继续 匹配 。 


币 需 


轨 land@ubuntu: ~ l= © 


图 7.42 grep 命令 的 格式 
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表 7.11 grep 选项 功能 描述 


grep 选项 选项 功能 描述 
器 只 输出 匹配 行 的 计数 
1 匹配 时 不 区 分 大 小 写 
了 显示 匹配 行 和 行 号 
恒 不 显示 不 存在 或 无 匹配 文本 的 错误 信息 
-v 显示 不 包含 匹配 文本 的 所 有 行 
-0 只 显示 正则 匹配 的 文本 
二 递归 查找 所 有 子 目录 内 容 


grep 在 技术 分 析 中 的 用 途 非常 广泛 ,下 面 给 出 几 个 实例 : 

。 netstat -nap| grep 80 # 查询 监听 80 端口 的 行 。 

。 history -n | grep kill ”# 查 找 命令 行 历史 中 执行 过 的 kill 指令 ,并 显示 行 号 。 

。 grep -T "mysql" * # 在 当前 目录 及 所 有 子 目 录 下 递归 查找 包含 mysql 的 行 ， 
在 查找 网 站 的 数据 库 配置 时 比较 有 用 。 

。 grep land /etc/passwd “并 显 示 land 用 户 的 设置 信息 。 

。 cat /var/log/messages | grep "fail" 上 显示 启动 过 程 中 出 错 (fail) 的 信息 。 

6.，UNIX Linux 数据 分 析 在 案件 侦查 中 的 综合 应 用 


2015 年 4 月 11 日 , 某 市 公安 机 关 接 到 辖区 一 省 级 机 关 单 位 报警 称 , 该 厅 
使 用 的 “XX 政务 网 ”遭受 非法 侵入 后 无 法 正常 运行 ,导致 原本 应 在 互联 网 上 
流转 的 某 行 政审 批 事项 无 法 办 理 。 


案例 


接 到 报警 后 ,公安 机 关 对 该 厅 使 用 的 服务 器 进行 检查 分 析 。 该 计算 机 使 用 的 是 Linux 
操作 系统 ,安装 了 Tomcat 应 用 用 于 提供 Web 服务 ,使 用 Oracle 作为 数据 库 。 

首先 进行 文件 分 析 。 经 对 比 网 站 早期 备份 版 本 后 发 现 ,在 该 网 站 根 目录 路 径 下 出 现 了 
非 网 站 开发 者 留 下 的 文件 cmd. jsp。 经 对 该 文件 进行 检查 发 现 ,该 文件 为 木马 程序 ,功能 为 
获取 Oracle 接口 参数 .权限 等 内 容 , 如 图 7.43 所 示 。 

此 外 ,在 ckfinder 文件 夹子 目录 下 ,犯罪 嫌疑 人 还 上 传 了 一 个 名 为 helpsend. jsp 的 脚本 
程序 ,如 图 7. 44 所 示 ,功能 是 在 cmd.jsp 文件 获取 了 数据 库 接口 参数 .权限 后 ,直接 传递 过 
来 ,并 改写 了 数据 库 里 指定 字段 。 

嫌疑 人 十 分 狭 独 地 使 用 了 境外 代理 VPN 服务 器 作为 跳板 实施 了 侵入 行为 。 通 过 调 取 
服务 器 日 志 , 对 比 每 次 嫌疑 人 访问 木马 程序 的 时 间 , 公 安 机 关 初 步 明确 了 犯罪 嫌疑 人 的 活动 
规律 。 
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92.229.79 —— [17/¥ar/2015:05:36:31 +0800] “GET /goods/inder.action?redirect:$%7B%23a% 
3d(new%20java. lang. ProcessBuilder (new%20java- lang- String%5B%5D%20% 

7B’ chmod’ , "77T’,” /apps/weixin/apache—tomcat -6. 0. 41 /webapps/ROOT/cmd. jsp’ %7D)). start (), %23b% 
3d%23a. getInputStreamn(), %23c%3dnew%20java. io. InputStreanReader%20 (%23b), %23d%3dnem% 

20java. io. BufferedReader (%23c),%23e%3dnew%20char%5B50000%5D, %23d. read(%23e), %23matt%3d%20% 
23context. get (’ com. opensymphony. xwork2. dispatcher. HttpServletResponse” ), % 

23matt. getgriter()- println%20(%23e), %23matt. getWriter (). flush(), %23matt. getWriter(). close()% 
TD HITP/1.0” 200 50002 “ 


图 7.43 嫌疑 人 访问 cmd. jsp 的 日 志 


106.185. 45. 249 — — [10/Apr/2015:16:52:37 +0800] “GET /goods/index. action?redirect:$%7B%23a% 
3d(new%20java. lang. ProcessBuilder (new%20java. lang. String%5B%5D%20%7B” rm ,” 一 

r’”," /apps/wcixin/apachc-tomcat-6. 0. 41/wecbapps/ROOT/ckfinder/help/cs/files/helpsend. jsp’ % 
7D)). start (), %23b%3d%23a. getInputStream(), %23c%3dnew%20java. io. InputStreamReader%20(%23b), % 
23d%3dnew%20java. io. BufferedReader (%23c), %23e%3dnew%20char%5B50000%5D, %23d. read(%23e),% 
23matt%3d%20%23context. get( com. opensymphony. xwork2. dispatcher. HttpServletResponse” ),% 
23matt. getWriter(). println%20(%23e), %23matt. getWriter(). flush(), %23matt. setWriter(). close()% 
7D HITTP/1.0” 200 50002“ 


图 7.44 嫌疑 人 访问 helpsend. jsp 的 日 志 


随后 进行 时 间 分 析 。 对 cmd. jsp 和 helpsend. jsp 在 日 志 中 出 现 的 时 间 进 行 分 析 , 侦查 
人 员 发 现 cmd.jsp 最 早出 现 于 2015 年 2 月 17 日。 通过 对 日 志 的 分 析 发 现 ,嫌疑 人 于 3 点 
14 分 11 秒 时 ,使 用 了 POST 方法 上 传 了 cmd. jsp 文件 ,成 功 并 返回 代码 “200”。 在 3 点 14 
分 17 秒 时 ,通过 get 方法 直接 访问 的 方式 试图 访问 /goods/ 路 径 下 的 cmd. jsp 文件 ,结果 文 
件 不 存在 ,访问 失败 并 返回 失败 代码 “404"。3 点 14 分 23 秒 时 ,嫌疑 人 直接 访问 了 根 目录 ， 
成 功 获取 到 植 和 人 的 文件 cmd. jsp。 如 图 7. 45 所 示 。 此 组 动作 表明 ,这 是 犯罪 嫌疑 人 最 初 发 
现 漏洞 并 上 传 cmd. jsp 木马 文件 的 时 间 和 方法 。 经 进一步 工作 ,民警 抓获 了 犯罪 嫌疑 人 
POST 
/goods/index. action?redirect:$%7E%23redh3DY23context. get (%27com. opensymphony. xwo 
zk2. dispatcher. HttpServletReauest%27), %23aXSD%23req, getSession(), %23b%SDN23a, get 
ServletContext (), %23c%3d%23b. setRealPath (%22/%22), %25fos%Sdnew%20java, io, FileOut 
putStreanm(%23req. getParameter (%22p%22)),%23fos. write (%23req, getParameter 
(%22t%22). replaceAll (%22sbtest%22, %20%22%3C%22). replaceAll (X22sbtest%22, %20%22%3 
B%22). getBytes()), X23f0s. close(), %23matt%3D%23context. get (%27com opensynphony. xm 
ork2. dispatcher. HttpServletResponseW27), %23matt. getMriter (). println(%220K. . %22), 
23matt. getWriter (). flush(), %23matt. getgriter (). close ()%TD&t=Struts2W20Exploity2 
OTest&p=%2F apps%2Fsellertool s%2Fapache-tomcat— 
[17/Feb/2015:03:14:11 +0800] ‘6. 0. 41%2Fwebapps%2FRDOT%2Fcmd, jspHTTP/1. 0 200 
[17/Feb/2015:03:14:17 +0800] GET /goods/emd. isp HTTP/1.1 404 


[17/Feb/2015:03:14:23 ,+0800] GET /cmd, isp HITTP/L,1 200 


图 7.45 嫌疑 人 上 传 木马 文件 cmd. jsp 的 过 程 


7.4.7 网 络 节 点 设备 的 数据 分 析 
除 服务 器 外 :网络 数据 在 传输 过 程 中 所 经 过 的 节点 设备 往往 存 有 大 量 与 案件 有 关 的 数 
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据 。 无 论 是 节点 设备 按照 产生 的 日 志文 件 ,还 是 设备 的 配置 文件 ,都 有 可 能 对 案件 侦查 产 4 
指引 性 作用 。 

1. 交换 机 和 路 由 器 数据 分 析 

一 般 地 ,交换 机 工作 于 数据 链 路 层 。 交 换 机 内 部 的 CPU 会 在 每 个 端口 成 功 连接 时 , 通 
过 将 MAC 地 址 和 端口 对 应 ,形成 一 张 MAC 表 , 并 根据 MAC 地 址 寻 址 发 送 数据 。 用 于 二 
层 交 换 的 地 址 表 , 通 常 称 为 CAM 表 , 该 表 是 MAC 地 址 与 物理 接口 的 对 应 关系 。 二 层 交换 
机 和 三 层 交 换 机 都 会 维护 这 张 表 。 一 般 而 言 , 表 中 含有 接 入 设备 的 有 MAC 地 址 、 对 应 的 端 
口号 .端口 所 属 的 VLAN 等 信息 。 交 换 机 的 CAM 表 可 以 通过 多 种 方式 获得 ,比如 静态 配 
置 .动态 学 习 

因此 ,通过 查看 CAM 表 , 侦 查 人 员 能 够 明确 该 交换 设备 的 各 个 端口 与 其 链接 的 终端 设 
备 的 MAC 地 址 所属 虚拟 局 域 网 等 信息 。 

常见 的 查看 CAM 表 的 方式 是 利用 Windows 自 带 的 超级 终端 程序 进行 查看 ,如 图 7. 46 
所 示 。 在 Windows 中 运行 “超级 终端 "程序 ,输入 连接 名 称 , 并 确认 该 连接 所 使 用 的 串口 号 ， 
进行 端口 设置 (不 同 的 交换 机 可 能 在 参数 配置 上 略 有 不 同 )。 


[a 


ie Mac Addresses for this criterion: 6 
Switch 并 
Switch# 


图 7.46 利用 超级 终端 程序 查看 CAM 表 


路 由 器 与 交换 机 不 同 , 它 工作 在 网 络 层 上 ,路 由 器 的 配置 信息 存放 在 路 由 表 中 。 路 由 器 
根据 数据 帧 的 目标 IP 地 址 ,通过 路 由 表 选 择 最 佳 传输 路 径 将 数据 帧 传送 出 去 。 因 此 ,在 路 
由 表 中 会 保留 着 传输 数据 时 留 下 的 相关 数据 。 在 网 络 犯罪 案件 侦查 工作 中 ,路 由 表 是 重点 
侦查 线索 之 一 。 

查看 路 由 表 的 方式 与 查看 CAM 表 的 方式 类 似 ,都 可 以 通过 “超级 终端 "程序 进行 。 但 
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是 路 由 器 的 命令 众多 ,对 其 分 析 更 为 复杂 一 些 (具体 参考 7.9 节 ) 。 

2. 防火 墙 数据 分 析 

防火 墙 主要 由 服务 访问 规则 、 验 证 工具 、 包 过 滤 和 应 用 网 关 4 个 部 分 组 成 。 在 防火 墙 日 
志 中 ,有 大 量 有 关 入 侵 者 尝试 进入 网 络 的 数据 ,通过 对 这 部 分 数据 的 分 析 和 梳理 ,能 够 准确 
分 析出 案件 发 生 的 时 间 、 攻 击 的 连续 性 动作 等 极其 重要 的 数据 。 此 外 ,对 于 内 部 网 络 而 言 ， 
防火 墙 可 以 记录 内 部 网 络 接 和 人 设备 向 外 发 送 相关 数据 的 日 志 , 在 案件 侦查 时 遇 到 某 个 大 型 
网 络 , 但 难以 确定 某 一 台 作案 用 机 时 ,可 以 结合 防火 墙 数据 进行 摸排 。 因 此 ,防火 墙 相关 数 
据 的 分 析 工 作 是 网 络 犯罪 侦查 工作 中 极其 重要 的 环节 。 

Windows 自 带 的 防火 墙 日 志 , 与 IIS 日 志 相 类 似 , 日 志文 件 的 开头 4 行 是 日 志 的 说 明 信 

:“ 井 Software” 记 录 了 日 志 的 生成 软件 :“ 划 Time Format” 记 录 了 日 志 的 时 间 格 式 ;“# 
Fieldsw 的 含义 是 日 志 :字段 ,显示 记录 信息 的 格式 。 其 中 字段 含义 与 IIS 基本 一 致 ,此 处 不 再 
殉 述 。 

Windows 防火 墙 日 志 一 般 分 为 3 行 : 第 1 行 反映 了 数据 包 的 发 送 、 接 收 时 间 、 发 送 者 
IP 地 址 、 对 方 通信 端口 .数据 包 类 型 .本 机 通信 端口 等 情况 ; 第 2 行为 TCP 数据 包 的 标志 
位 ,共有 6 位 标志 位 ,分 别 是 URG、ACK、PSH、RST、SYN.\FIN, 在 日 志 上 显示 时 只 标 出 第 

一 个 字母 ,如 图 7.47 所 示 。 


#Version: 1.5 

#Software: Microsoft Windows Firewall 

#Time Format: Loca 

#Fields: date time action protocol src-ip dst-ip src-port dst-port size tcpflags tcpsym 
tcpack tcpwin icmptype icmpcode info path 

2015-09-14 14:45:44 DR TCP 121. 229| 11. 62 192.168.1.100 80 35106 40 A 3456172238 
1370391300 27 ~ -一 

2015-09-14 14:45:52 oe Ee 0 133. 60, 173 192. 168.1.100 443 65124 169 AP 2086682883 
794527494 24480 一 一 一 


图 7.47 Windows 自 带 防火 墙 日 志 


本 段 日 志 记录 了 访问 者 访问 本 机 时 的 相关 数据 ,含义 为 : 2015 年 9 月 14 日 14 时 45 
分 ,有 设备 访问 本 机 ,DROP 表示 该 数据 包 被 丢弃 ,来 访 计算 机 设备 IP 地 址 为 : 121. 229. 
11. 62 ,连接 方式 为 TCP, 本 机 IP 为 192.168.1.100, 端 口 为 80。 对 方 端口 为 35106, 数 据 包 
大 小 为 40B,TCP 数据 包 的 标志 位 为 ACK。RECEIVE 指 入 站 包 ,SEND 则 是 本 机 发 送 包 。 

在 大 型 网 络 中 往往 会 使 用 专业 级 防火 墙 软 硬件 设备 ,并 搭载 相应 的 防火 墙 日 志 服 务 器 。 
对 于 大 容量 的 防火 墙 日 志 , 需 要 使 用 专门 的 日 志 分 析 软 件 进 行 ,如 Firewall Analyzer 等 。 

3. 网 络 电话 设备 数据 分 析 

在 网 络 数据 传输 的 过 程 中 ,数据 传输 链 路 上 还 有 其 他 的 设备 。 这 些 设备 也 可 能 存 有 数 
据 日 志文 件 或 者 配置 文件 ,能 够 帮助 侦查 人 员 指 明 侦 查 方向 。 如 网 络 电话 系统 中 的 语音 
关 、 软 交换 系统 服务 器 等 。 这 些 设备 虽然 不 是 传统 互联 网 概念 上 的 网 络 拓扑 节点 ,但 是 其 运 
行 方式 .遵循 协议 也 是 在 互联 网 框架 下 的 。 因 此 ,这 些 设备 及 其 数据 在 相关 的 案件 侦查 中 往 


240 网 络 犯罪 侦查 


往 也 起 着 举足轻重 的 作用 。 本 节 以 电信 诈骗 案件 侦办 过 程 中 常见 的 网 络 电话 拓扑 结构 为 切 


入 点 ,简单 介绍 其 他 设备 数据 分 析 的 思路 和 方法 。 


原因 


网 络 电话 俗称 VoIP(Voice over Internet Protocol)。 网 络 电 话 的 体系 结构 相对 复杂 ， 


在 于 网 络 电话 是 跨越 两 个 大 型 网 络 一 一 公用 交换 电话 网 (Public Switched Telephone 


Network,PSTN) 和 互联 网 (Internet) 的 特殊 服务 。 其 体系 结构 如 图 7. 48 所 示 。 


3 :00xexevex 


ml 方 A 


RY EINO.7/ 中 国 一 号 电 
网 


a :38vsxsxsxx 
念 ,， dxeeeeeex 


被 叫 方 B 


QS 


网 守 维护 终端 


图 7.48 网 络 电话 的 体系 结构 


网 络 电话 拓扑 中 设备 的 作用 : 

。 网 守 一 一 是 全 电话 网 的 管理 设备 ,提供 了 地 址 解析 、 接 入 认证 ,带宽 管理 和 资源 管 
理 等 功能 ,也 称 关 守 、 网 闸 。 

。 网 关 一 一 耳 电 话 的 接 和 人 设备 ,位 于 电话 交换 网 与 IP 网 之 间 , 是 电话 交换 网 的 终 节 
点 ,也 是 IP( 分 组 ) 交 换 网 的 起 始点 ,为 用 户 提供 卫 电话 业务 完成 信 令 转换 和 媒体 
转换 。 

其 中 ,负责 进行 媒体 转换 以 及 电话 交换 网 和 IP 网 连接 的 网 关 , 称 为 媒体 网 关 (Media 


Gateway. MG); 负责 进行 信 令 转换 的 网 关 称 为 信 令 网 关 (Signaling Gateway,SG) ,信和 令 网 


关 只 


是 进行 信 令 的 底层 转换 ,并 不 改变 应 用 层 消息 ; 而 媒体 网 关 控 制 器 (Media Gateway 


Controller, MGC) 负 责 根据 收 到 的 信 令 来 控制 媒体 网 关 的 建立 和 释放 ,是 真正 对 信 令 消息 
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进行 分 析 和 处 理 ,并 进行 应 用 层 互 通 变 换 的 网 元 ,媒体 网 关 控制 器 是 整个 系统 的 管理 者 和 控 
制 者 。 媒 体 网 关 控 制 器 又 称 为 * 软 交换 机 “呼叫 代理 ”。 
目前 ,大 多 数 网 关 不 仅 支 持 多 重 标准 的 语音 编码 ,还 集成 了 FXS/FXO 接口 ,用 于 与 传 
统 电 话 以 及 PSTN 的 连接 。 此 外 ,网 关 还 支持 静态 ,动态 和 虚拟 IP, 支 持 公 网 、 私 网 地 址 , 具 
备 路 由 功能 。 

语音 网 关 是 连接 互联 网 和 公用 电话 交换 网 的 设备 。 在 语音 网 关上 ,集成 了 以 太 网 接口 
和 电话 模拟 网 接口 。 众 所 周知 ,网 络 设备 要 接 入 互联 网 并 正常 运行 ,就 必须 具备 IP 地 址 。 
因此 ,在 语音 网 关 设 置 中 ,必然 含有 IP 地 址 设 定 一 项 。 如 图 7. 49 所 示 。 


主机 名 : [a 

网 关 IP 地 址 : [Ep 
DHCP 服 务 : | [ES| 
本 机 TP 地 址 : [i 
子 网 接 码 ; E50 
TELLIEZS 
DNS: Off 可 


首选 DNS 服务 器 : 
备用 DNS 服务 器 : 


了 PPPoE: Dff 局 


PPPoE 用 户 名 : 
PPPoE 密 码 : 


首先 TINE 服 务 中 jE 
备用 TIIE 服 务 器 : [mwessssewsw 

超时 (分 神 ) : | [| 
查询 间隔 (分 钟 ): |120 了 


图 7.49 某 语音 网 关 网 络 配 置 设置 


现 有 语音 网 关 多 数 支持 静态 IP 配置 ,或 者 通过 DHCP 服务 分 配 IP 地 址 。 此 外 ,还 支 
持 PPPoE 拨号 。 因 此 ,可 以 通过 运营 商 查询 配置 信息 ,或 者 PPPoE 账号 用 户 信息 查询 语音 
网 关 的 部 署 人 。 语 音 网 关 的 架设 者 , 极 有 可 能 就 是 为 网 络 电话 犯罪 提供 技术 支持 的 犯罪 嫌 
疑 人 。 

语音 网 关 的 日 志 信息 ,记录 了 语音 网 关 权限 持 有 人 对 语音 网 关 的 操作 情况 ,记载 了 包括 
登录 信息 .权限 级 别 .出 错 处理 等 信息 ,甚至 可 能 留 有 简单 的 语音 呼叫 记录 信息 。 获 取 的 语 
音 网 关 日 志 , 可 以 证 明 案 发 时 间 段 该 语音 网 关 状 态 是 否 正 常 , 是 否 是 该 犯罪 嫌疑 人 利用 自己 
的 权限 ,从 某 一 IP 地 址 登录 并 配置 后 在 实施 犯罪 过 程 中 起 作用 。 

语音 网 关 的 配置 信息 ,记录 了 该 网 关系 统 的 拨号 及 路 由 配置 情况 ,以 及 与 该 网 关连 通 的 
线路 信息 、 软 交换 系统 信息 等 。 在 案件 侦查 过 程 中 ,获得 了 语音 网 关 的 配置 信息 ,可 以 发 现 
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其 他 综合 接 入 设备 和 管理 系统 的 接 入 信息 ,并 为 进一步 开展 工作 指明 设备 所 在 。 语 音 网 关 
的 配置 信息 ,用 于 证 明 该 语音 网 关 与 其 他 设备 和 系统 的 连通 性 。 通 过 其 他 设备 和 系统 上 留 
存 的 能 够 证 明 犯 罪 事实 存在 的 证 据 ,结合 语音 网 关 日 志 信 息 和 配置 信息 ,以 及 犯罪 嫌疑 人 的 
供述 .运营 商 提供 的 合同 文件 等 其 他 内 容 , 证 明 该 语音 网 关 在 案件 中 的 作用 如 何 , 进 而 证 明 语 
音 网 关 架 设 者 在 犯罪 团伙 中 的 分 工 如 何 , 以 及 利用 网 络 电话 进行 共同 犯罪 过 程 中 的 作用 如 何 。 

有 些 语音 网 关 的 功能 比较 简单 , 仅 有 基本 的 连通 配置 ,并 不 留存 大 量 日 志 。 更 为 复杂 的 
设置 通过 在 专门 的 服务 器 上 部 署 软 交换 系统 进行 管理 。 

软 交换 平台 是 用 户 终端 设备 和 上 车 网 关 、 下 车 网 关 建 立 呼 叫 的 渠道 , 它 有 着 强大 的 媒体 
流转 发 . 主 叫 认证 .路 由 解析 等 功能 。 图 7. 50 是 某 软 交换 系统 的 界面 。 软 交换 系统 是 连接 
多 个 综合 接 入 设备 的 桥梁 和 纽带 ,具有 通话 费 率 管理 账户 管理 网关 管理 \ 话 机 管理 ,通话 
并 发 性 能 设置 .语音 管理 .数据 查询 、 话 单 分 析 等 功能 。 


系 里 业务 曾 理 语言 首 再。 泊 大 查 尊 。 财 据 报 表 话 单 分 析 卡 准 管理 系统 匠 理 号 网 管理 


全 于 Ot Om 全 On Qim Qn Os QO 人》 人 
[BE i 4 有 
of 疯长 过 | | 6 6 
esay 加 国内 长 过 1 | “000000001 | 0000000 
目地 区 名 称 加 区 | 5 0000000)0 T 1 
Ca 04 0.000000019 0.0000000.6 
BE | | i 1000000l 0000000 
国内 业务 06 了 醒 内 长 本 一 000000000- 十 00000000l6 = 
Em 7 国内 攻 过 i | 一 5000000005 00000009 
[RE CC [国内 长 过 | 0.000000010 5.0000000 
| 办 10.000000010 0.0000000， 
1 国内 长 于 0.000000010 0 0000000) 
区 国内 长 过 0 0000000|0 0 0000000) 
和 C3 0000000]0 [ 0 0000000] 
日 _ 国 两 长 十 000000 6 0 00000008 
日 而 内 长 从 0.0000000|0 0.0000000)6 
日 国内 长 过 .5000000|5 0.00000006 
7 3 .0000000|0 0000000.6 
加 国医 办 0 000000006 
a 国内 长 过 0.0000000|0 0.0000000j6 


EF 20090907094313 20031201000000 


图 7.50 某 软 交换 系统 界面 


若 在 无 法 通过 语音 网 关 的 配置 信息 查找 到 语音 网 关 部 署 人 的 相关 信息 ,就 应 当 对 此 语 
音 网 关 的 软 交 换 系 统 进 行 侦查 ,通过 软 交 换 系 统 的 相关 信息 查找 呼叫 源 。 可 在 该 网 关 的 配 
置信 息 中 找到 , 软 交 换 系统 所 在 主机 的 登录 信息 ,注册 服务 器 的 地 址 , 即 为 软 交 换 系 统 所 在 
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的 主机 地 址 。 掌 握 该 主机 权限 者 就 是 网 络 电话 的 部 署 人 , 即 为 犯罪 团伙 提供 技术 支持 的 嫌 
疑 人 。 

通过 软 交 换 系统 中 的 落地 网 关 信 息 ,能 够 查找 到 所 有 由 该 软 交 换 系统 管理 的 落地 网 关 
信息 ,以 及 对 接 网 关 信 息 。 再 通过 网 关 的 信息 ,结合 七 号 信 令 反 查 的 方法 ,进一步 向 上 挖掘 ， 
直至 发 现 呼叫 源 。 


7.4.8 小 结 


网 络 犯罪 现场 与 传统 犯罪 现场 一 样 , 处 处 有 线索 ,只 不 过 这 些 线索 看 不 见 、 摸 不 到 。 网 
络 犯罪 侦查 人 员 需 要 利用 数据 分 析 技 术 从 二 进 制 信息 中 获取 有 利于 侦查 的 信息 ,并 根据 这 
些 信息 重 构 犯 罪 现场 ,追踪 犯罪 嫌疑 人 。 


7.5 了 嗅 探 分 析 技 术 


为 了 侦查 攻击 的 来 源 、 恶 意 软件 的 连接 ,数据 被 窃取 的 方向 等 ,侦查 人 员 需 要 对 计算 机 
或 其 他 网 络 设备 传输 的 网 络 数据 进行 嗅 探 分 析 。 嗅 探 是 一 种 常用 的 侦查 技术 ,Windows 下 
常用 的 嗅 探 分 析 软 件 有 WireShark、WSExplorer、WSockExpert、Sniffer 等 ; Linux 下 一 般 
使 用 命令 行 工具 TcpDump 辅 以 Wireshark。 


7.5.1 唤 探 工作 原理 


嗅 探 指 的 是 将 OSI 模型 中 各 层 的 网 络 数据 镜像 ,按照 标准 的 协议 、 编 码 等 进行 解析 ,以 
可 视 化 的 形式 呈现 的 过 程 , 俗 称 " 抓 包 ”。 

嗅 探 如 同 “ 剥 洋葱 ”一样 地 逐 层 解析 数据 流 。 计 算 机 网 络 数据 的 传输 按 OSI 参考 模型 
大 致 可 以 分 为 物理 层 \ 链 路 层 、 网 络 层 、 传 输 层 、 会 话 层 、 表 示 层 、 应 用 层 等 。 物 理 层 一 般 指 网 
卡 等 物理 设备 , 链 路 层 指 计算 机 对 其 进行 控制 和 管理 的 设备 驱动 程序 ,网 络 层 指 实现 两 个 端 
系统 之 间 的 数据 透明 传送 过 程 , 它 在 数据 链 路 层 提供 的 两 个 相 邻 端点 之 间 的 数据 帧 的 传送 
功能 上 ,进一步 管理 网 络 中 的 数据 通信 ,在 这 一 层 里 的 大 部 分 数据 已 经 过 符合 规范 的 解析 ， 
有 一 部 分 嗅 探 工 具 就 是 工作 在 这 一 层 。 传 输 层 实现 端 到 端的 数据 传输 ,是 两 台 计算 机 经 过 
网 络 进行 数据 通信 时 ,第 一 个 端 到 端的 层次 ,具有 缓冲 作用 。 当 网 络 层 服务 质量 不 能 满足 要 
求 时 , 它 将 服务 加 以 提高 ,以 满足 高 层 的 要 求 。 会 话 层 是 典型 的 过 渡 层 , 它 为 会 话 实体 间 建 
立 连接 ,使 应 用 建立 和 维持 会 话 , 并 能 使 会 话 获得 同步 。 应 用 层 即 应 用 实体 , 它 是 网 络 传输 
的 最 终 解析 ,符合 的 规范 和 协议 也 最 多 最 复杂 ,但 用 户 可 以 简单 地 将 它 看 作 是 将 不 可 理解 的 
比特 流 最 终 呈 现 为 用 户 可 理解 的 数据 构成 ,例如 正 浏览 器 ,就 是 将 数据 呈现 为 网 页 的 应 用 。 


7.5.2 次 探 分 析 的 意义 
嗅 探 能 够 清晰 反应 网 络 数据 的 数据 传输 情况 , 它 是 做 动态 数据 分 析 的 技术 ,既是 发 现 线 
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索 的 重要 渠道 ,也 是 最 终 定案 的 重要 依据 。 现 在 一 些 网 络 数据 解析 工具 ,虽然 基于 嗅 探 分 析 
原理 的 ,但 是 呈现 给 用 户 的 数据 大 多 是 经 过 二 次 处 理 的 ,很 多 有 价值 的 数据 被 屏蔽 ,导致 网 
络 侦查 始终 处 于 “给 什么 干什么 ”低层 次 ,投入 产 出 比 极 低 。 嗅 探 则 通过 全 面 抓 取 网 卡 传输 
的 数据 ,结合 恰当 的 协议 解析 ,能 最 真实 地 还 原 这 些 数据 传输 的 状态 、 目 的、 途径 等 。 


嗅 探 主要 使 用 嗅 探 工 具 进 行 。 一 款 优 秀 的 “ 抓 包 ?工具 首先 看 它 对 协议 
的 解析 能 力 和 范围 ,其 次 看 它 工作 在 哪 一 层 ( 决 定 了 能 抓 取 哪 些 数 据 )。 一 般 
情况 下 ,如 果 侦 查 人 员 需 要 全 面 掌 握 网 络 传输 中 的 所 有 数据 ,包括 ICMP 包 、 
广播 包 , 甚 至 是 错误 包 等 数据 , 嗅 探 工 具 应 至 少 工作 在 网 络 层 ,例如 Sniffer、 
WireShark 等 ; 如 果 只 需要 抓 取 和 分 析 HTTP、FTP 等 数据 时 (有 时 以 服务 或 
进程 区 分 ) , 噢 探 工 具 只 要 工作 在 应 用 层 即 可 ,例如 WSExplorer; 若 仅 需 抓 取 
http 数据 , 则 使 用 HTTPWatch 即 可 。 


7.5.3 Windows 系统 下 的 唤 探 分 析 


Windows 下 的 嗅 探 分 析 工 具 , 从 浏览 器 插件 到 专用 工具 一 应 俱全 。 本 节 以 
HttpWatch、Wireshark、WSockExpert 为 例 简要 说 明 嗅 探 分 析 方 法 。 

HttpWatch 是 强大 的 网 页 数据 分 析 工 具 , 集 成 在 Internet Explorer 工具 栏 。 它 操作 简 
便 , 能 够 在 显示 网 页 的 同时 显示 网 页 请 求 和 回应 的 日 志 信息 。 甚 至 可 以 显示 浏览 器 缓存 和 
IE 之 间 的 交换 信息 。 在 对 网 站 进行 基础 侦查 时 ,一 般 使 用 HttpWatch, 如 图 7.51 所 示 。 

Wireshark 是 世界 上 较为 流行 的 网 络 分 析 工 具 之 一 , 它 是 由 Gerald Combs 开发 ,目前 
由 Wireshark 团队 进一步 开发 和 维护 的 一 个 开源 项 目 , 目 前 能 在 Windows 和 大 部 分 UNIX 
平台 上 和 运行。 这 个 功能 强大 的 工具 可 以 捕捉 网 络 中 的 数据 ,并 为 用 户 提 供 关 于 网 络 和 上 层 
协议 的 各 种 信息 。 值 得 注意 的 是 ,Wireshark 也 使 用 pcap network library 进行 封包 捕捉 ， 
所 以 安装 Wireshark 之 前 需要 安装 pcap 类 库 , 而 且 它 工作 在 数据 链 路 层 , 能 够 抓 取 网 卡 收 
发 的 所 有 网 络 数据 。 

Wireshark 的 使 用 如 图 7. 52 所 示 , 设 置 好 要 嗅 探 的 网 卡 后 就 可 以 开始 抓 取 数 据 包 了 。 

Wireshark 主体 窗口 为 数据 包 列 表 . 中 间 窗 口 为 数据 包 的 详细 信息 .下端 窗 口 为 封包 的 
具体 数据 内 容 , 如 图 7.53 所 示 。 

从 中 间 数 据 包 详细 信息 可 以 看 出 ,Wireshark 采用 的 是 TCP/IP 协议 四 层 结构 显示 : 第 
一 行 是 数据 链 路 层 的 信息 ,第 二 行 是 网 络 层 信息 (CIP 协议 ) ,第 三 行 是 传输 层 信息 CTCP 协 
议 ) ,第 四 行 是 应 用 层 信息 (应 用 层 协 议 ) 。 

侦查 人 员 在 实际 工作 中 ,经 常 要 对 特定 进程 进行 抓 包 分 析 , 此 时 工作 在 底层 的 
Wireshark 反而 不 够 直观 ,这 时 可 以 使 用 WSExplorer 等 可 以 对 特定 服务 进行 抓 包 的 软件 。 

需要 注意 的 是 ,在 对 于 恶意 软件 嗅 探 分 析 时 ,恶意 软件 利用 系统 进程 进行 网 络 数据 的 收 
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图 7.51 利用 HttpWatch 嗅 探 公安 部 网 站 信息 


发 ,或 者 可 视 进 程 不 作 网 络 数据 收发 之 用 ,这 样 监控 这 些 进 程 很 可 能 无 法 获取 数据 ,所 以 实 
际 工作 中 建议 多 个 方式 同时 进行 ,以 免 遗 漏 重要 信息 。 


7.5.4 Linux 系统 下 的 唤 探 分 析 


Linux 系统 下 一 般 使 用 其 自 带 的 TcpDump2 命令 行 工具 进行 抓 包 ,与 Windows 不 同 
的 是 ,在 Linux 系统 中 如 果 要 抓 取 所 有 流 过 网 卡 的 全 部 数据 (包括 交换 数据 ) ,需要 设置 网 卡 
的 混杂 模式 ,然后 指定 要 抓 包 的 网 卡 ,再 开始 抓 包 。 设置 网 卡 的 混杂 模式 一 般 命令 为 ， 
ifconfig 网 卡号 promisc, 然 后 再 通过 "tcpdump - 参数 网 卡号 ”等 命令 开始 抓 包 。 

如 果 数 据 量 比较 大 的 话 ,侦查 人 员 可 以 利用 -w 等 参数 将 其 保存 到 文件 中 ,然后 再 导入 
到 其 他 数据 分 析 软 件 中 进行 分 析 ,tcpdump 用 法 如 图 7. 54 所 示 。 


DD http://www.tcpdump. org 
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将 数据 包 内 容 保 存 到 baidu. cap 文件 
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抓 取 的 数据 包 文件 XXX. cap 可 以 直接 用 Wireshark 等 软件 打开 ,在 Linux 系统 中 ,可 
以 先 用 TcpDump 命令 行 抓 包 保存 为 cap 文件 ,然后 再 利用 GUI 的 数据 包 分 析 软 件 ( 例 如 
Wirehshark) 打 开 进 行 分 析 , 如 图 7. 55 所 示 。 


本 TY 


"aAF) | SHANA) | NPP) 


图 7.55 Linux 下 的 Wireshark 分 析 数 据 包 界面 


7.5.5 移动 终端 的 响 探 分 析 


目前 能 直接 运行 在 移动 终端 的 抓 包 工具 不 多 ,Android 系统 下 有 TcpDump. apk 等 工 
具 , 需 运行 在 root 模式 下 ,运行 后 会 生成 抓 包 文件 ,需要 导出 后 利用 Wireshark 等 软件 打开 
后 分 析 。 在 大 多 数 情况 下 ,可 以 构建 Wi-Fi 环境 对 手机 网 络 数据 进行 抓 包 ,将 目标 手机 连接 
到 侦查 人 员 自 行 构 建 的 Wi-Fi 环境 中 并 连接 互联 网 ,然后 对 该 Wi-Fi 网 络 进行 抓 包 分 析 。 


7.5.6 小 结 


网 络 动态 传输 的 数据 ,结合 数据 搜集 技术 ,应 用 嗅 探 分 析 技 术 , 都 可 以 被 完全 而 详尽 地 解析 ， 
使 违法 犯罪 行为 "无 处 通 形 ”。 因 此 , 嗅 探 分 析 技术 是 网 络 犯罪 侦查 的 基本 技术 基础 ,侦查 人 员 应 
当 在 理解 网 络 协议 的 基础 上 ,人 掌握 嗅 探 分 析 技术 ,才能 真正 理解 网 络 数据 动态 分 析 的 真 详 。 


7.6 日 志 分 析 技 术 


7.6.1 日志 分 析 概 述 
日 志 指 一 种 服务 或 者 程序 运行 过 程 中 产生 的 ,能 够 说 明 该 服务 或 者 程序 的 状态 信息 的 
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记录 ,日 志和 包括 正常 的 ,错误 的 状态 参数 , 它 往往 以 * 时 间 十 记录 "形式 的 文本 文件 出 现 。 
7.6.2 日志 的 类 型 和 基本 特点 


涉及 计算 机 信息 系统 的 日 志 有 很 多 ,从 来 源 区 分 ,可 以 分 为 Web 网 站 日 志 、 系 统 日 志 、 
VPN 等 服务 类 日 志 、 防 火 墙 等 硬件 日 志 等 ,这 些 日 志 从 网 络 犯罪 侦查 角度 看 具备 以 下 基本 
特点 。 

1. 格式 不 统一 

网 络 中 不 同 的 操作 系统 .应 用 软件 .网 络 设备 和 服务 产生 不 同 的 日 志文 件 , 即 使 相同 的 
服务 ,如 IIS 也 可 采用 不 同 格式 的 日 志文 件 记录 日 志 信息 ,国际 上 还 没有 形成 标准 的 日 志 格 
式 。 虽 然 大 部 分 操作 系统 的 日 志 都 以 文本 的 形式 记录 ,但 由 于 各 操作 系统 日 志 格 式 不 一 致 ， 
不 熟悉 各 类 日 志 格 式 就 很 难 获取 有 用 的 信息 ,甚至 某 些 日 志 是 非 文本 专用 格式 ,必须 借助 专 
用 的 工具 分 析 这 些 日 志 , 和 否则 很 难 读 懂 包含 的 信息 。 

2. 数据 量 大 

通常 日 志 记 录 的 内 容 较 为 详尽 , 既 记 录 正 确 的 信息 ,也 记录 发 生 错 误 的 信息 ,所 以 日 志 
文件 如 Web 服务 日 志 、 防 火 墙 \, 人 侵 检测 系统 日 志和 数据 库 日 志 以 及 各 类 服务 器 日 志 等 都 
很 大 。 一 个 日 志文 件 一 天 产生 的 容量 少 则 几 十 兆 、. 几 百 兆 ,多 则 有 几 个 吉 , 几 十 个 吉 , 数 据 量 
可 能 超过 百 万 行 ,这 使 得 人 工分 析 日 志 信息 变 得 很 困难 ,需要 工具 辅助 。 

3. 单一 片面 

日 志 是 对 本 服务 涉及 的 运行 状况 的 信息 按时 间 顺 序 进行 的 记录 , 仅 反映 某 些 特定 事件 
的 操作 情况 ,并 不 完全 反映 某 一 系统 或 用 户 的 整个 活动 情况 。 用 户 在 网 络 活动 的 过 程 中 会 
在 很 多 的 系统 日 志 中 留 下 痕迹 ,如 防火 墙 IDS 日 志 、 操 作 系统 日 志 等 ,这 些 不 同 的 日 志 之 间 
存在 一 定 的 联系 反映 用 户 的 活动 情况 。 只 有 将 多 个 系统 的 日 志 结 合 起 来 分 析 , 才 能 准确 多 
勒 出 用 户 活 动情 况 。 


7.6.3 日 志 分 析 的 意义 


对 于 网 络 犯罪 侦查 而 言 , 日 志 分 析 占 据 着 非常 重要 的 地 位 ,其 作用 等 同 于 现实 生活 中 的 
“视频 监控 ?。 日 志 以 文字 和 代码 形式 记录 了 操作 系统 和 应 用 程序 每 天 发 生 的 各 种 事情 。 日 
志 是 十 分 重要 的 侦查 切入 点 ,详细 准确 地 获取 和 分 析 各 种 日 志 信 息 对 侦办 相关 案件 具有 重 

1. 日 志 信 息 是 发 现 案 件 线索 的 重要 途径 

在 大 量 案 件 中 ,尤其 是 危害 计算 机 信息 系统 安全 类 的 案件 中 ,受害 计算 机 系统 中 的 
Web 上 日志、 服务 器 运行 日 志 等 中 记录 的 IP 地 址 ,时间 信息 、 浏 览 行为 等 数据 ,都 是 锁定 嫌疑 
人 位 置 的 最 直接 的 线索 。 

2. 日 志 信 息 是 诉讼 的 重要 证 据 
昌 于 日 志 信 息 本 质 上 是 存储 在 计算 机 信息 系统 中 的 电子 数据 ,本 身 具 有 客观 性 ,与 案件 
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相关 的 日 志 信 息 经 过 合法 的 提取 后 可 以 作为 证 据 使 用 ,具有 较 强 的 证 明 力 。 

3. 日 志 信 息 是 分 析 网 络 攻 击 手法 的 基础 数据 

对 大 量 日 志 信 息 的 分 析 ,能够 利用 概率 学 的 方法 总 结 归纳 出 当前 较为 流行 的 攻击 手法 、 
漏洞 主机 存在 的 状况 等 ,这 对 网 络 侦查 部 门 总 体 掌控 互联 网 安全 现状 、 动 态 感知 网 络 空间 具 
有 重要 意义 。 


7.6.4 日志 的 分 析 思 路 


快速 准确 地 提取 和 分 析 日 志 , 是 决定 案件 侦办 效率 的 重要 因素 。 面 对 格式 多 样 ,数据 庞 
大 的 日 志 , 需 要 侦查 人 员 具 有 清晰 的 分 析 思 路 。 

1. 搞 清 日 志 的 格式 和 定义 

针对 一 个 日 志文 件 ,首先 要 搞 清 它 属于 哪个 服务 ,是 操作 系统 产生 的 还 是 其 他 硬件 运行 
产生 的 。 确 定 日 志 的 宿主 后 ,应 通过 查阅 相关 文档 、 分 析 软 件 服务 特点 、 试 验 等 方式 弄 清 日 
志文 件 中 的 各 个 列 的 数据 所 表达 的 具体 含义 ,评估 其 对 案件 侦办 所 具有 的 作用 。 

2. 选择 合适 的 分 析 软 件 

由 于 日 志文 件 的 格式 和 表达 的 意义 不 尽 相 同 , 有 些 日 志文 件 小 而 精 , 有 些 日 志文 件 大 到 
几 百 兆 字 节 甚 至 几 十 吉 字 节 , 还 有 些 日 志 信息 按 列 存储 ,而 有 的 按 行 存储 ,所 以 选择 一 款 合 
适 的 分 析 软 件 对 提高 分 析 效 率 也 很 重要 。 选 择 分 析 软 件 时 ,一 般 首先 考虑 是 否 存在 这 种 日 
志 的 专门 分 析 软 件 , 例 如 分 析 Web 日 志 使 用 Web Log Explore, 分 析 Windows 系统 日 志 使 
用 系统 自 带 的 日 志 查看 器 。 通 用 的 日 志 分 析 工 具有 UltraEdit、Editplus 等 。 

3 建立 与 案件 相关 的 分 析 模型 

在 成 功 加 载 日 志文 件 后 ,应 根据 日 志 特点 和 案件 相关 信息 ,并 结合 分 析 软 件 的 能 力 , 建 立 一 

个 或 多 个 分 析 模 型 ,得 出 想 要 的 分 析 结 果 ; 并 根据 分 析 的 结果 ,进行 反 查 ,逐步 理 清 案件 情况 。 


7.6.5 IIS 日志 分 析 


IIS 即 Internet Information Services, 指 互联 网 信息 服务 ,是 由 微软 公司 提供 的 基于 运 
行 Microsoft Windows 的 互联 网 基本 服务 。 作 为 一 种 Web( 网 页 ) 服 务 组 件 ,IIS 包括 Web 
服务 器 .FTP 服务 器 .NNTP 服务 器 和 SMTP 服务 器 ,分 别 用 于 网 页 浏览 ,文件 传输 、 新 闻 
服务 和 邮件 发 送 等 方面 。 

1. Web 日 志 的 通用 技巧 

各 类 Web 服务 的 日 志 大 多 都 是 纯 文本 文件 格式 ,记录 的 内 容 也 不 尽 相 同 ,基本 涵盖 了 
访问 时 间 、 访 问 文件 .客户 端 卫 地 址 \ 访 问 类 型 等 重要 要 素 . 所 以 其 分 析 方 法 大 同 小 异 , 但 需 
要 注意 的 是 ,日 志文 件 往往 比较 巨大 ,盲目 分 析 只 会 浪费 时 间 且 得 不 到 预期 的 效果 ,所 以 分 
析 日 志 之 前 ,应 该 首先 明确 此 次 日 志 分 析 的 目的 事件 发 生 的 时 间 段 ,日志 记录 的 项 目 等 , 青 
进行 有 针对 性 的 分 析 。 以 黑客 案件 的 Web 日 志 分 析 为 例 ,Web 日 志 一 般 记 录 了 所 有 通过 
http 协议 访问 该 网 站 的 信息 ,所 以 详细 对 该 日 志 进 行 分 析 , 可 以 大 致 回溯 访问 者 在 一 段 时 
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间 内 对 该 网 站 实施 的 行为 。 

首先 通过 网 站 的 配置 找到 网 站 文件 目录 和 对 应 的 日 志文 件 目录 ,判断 黑客 人 侵 大 致 时 
间 ,找到 该 时 间 段 内 的 日 志文 件 ， 

(1) 查找 “and 1 一 ”等 关键 词 。 一 般 情 况 下 ,黑客 在 入侵 一 个 网 站 之 前 ,需要 对 该 网 站 进行 各 
种 扫描 ,这 样 就 会 产生 大 量 的 日 志 记录 ,而 用 GET 方法 使 用 “and 1 二 1” 和 “and 1 二 2” 等 关键 词 访 
问 动态 页 面 是 黑客 尝试 SQL 注入 漏洞 的 惯用 方法 。 如 图 7. 56 所 示 , 如 果 发 现 以 下 日 志 记录 , 则 
访问 者 曾经 利用 耳 为 192. 168. 30. 1 的 机 器 对 该 网 站 的 showcase. asp?id 一 的 动态 页 面 进行 过 
SQL 注入 漏洞 测试 。 其 他 查找 的 关键 词 还 有 "一 ?光一 javascript”“ 过 0" 等 。 


2013-01-04 07;32;37 W3SVC373323... 192.168.30,129 GET /showcase.asp 而 20and%201=1| 80 - 192.168.30.1 
2013-01-04 07:32:45 W3SVC373323... 192.168.30.129 GET /showcase.asp |id=7%20and%201=2| 80 - 192.168.30.1 
图 7.56 SQL 注入 尝试 后 的 日 志 


(2) 查找 服务 器 响应 代码 为 404 的 记录 。 如 图 7. 57 所 示 , 如 果 发 现 大 量 访问 404 的 信 
息 , 且 这 些 记录 都 是 连续 的 , 则 极 有 可 能 是 入 侵 者 在 对 该 网 站 进行 目录 探测 扫描 等 。 


T /tafbaceupgiodalt backup 


200f%20global.asa 

A 
/data/backup/members 
/data/backup/global.asa.bak 
/data/backup/orders 
/data/backup/global.asa.old 
/data/backup/global.asa.tmp 

/billing 


时 -~ -~ [0o4/Sep/2012:17:16: 29 +0800] 
- -~ [o4/sep/2012:17:16:29 +0800] 
EE [04/Sep/2012:17:16:29 ”+0800] 
-~ ~- [o4/sep/2012:17:16:29 +0800] 

- [04/Sep/2012:17:16:29 +0800] 

- [04/Sep/2012:17: 3 29 +0800] 


/Ww: 
/data/backup/global.asa.ong 
/data/backup/web.config.bak 


-~ [04/Sep/2012:17: 16: 29 +0800] 
-_ [04/Sep/2012:17:16:29 +0800] 


: 


图 7.57 目录 扫描 尝试 后 的 日 志 


(3) 查找 POST 关键 字 。 上 传 后 门 文件 在 日 志 中 会 留存 POST 记录 。POST 动作 远 远 
少 于 GET 动作 ,因此 POST 关键 字 过 滤 出 来 的 动作 要 重点 关注 。 

(4) 如 果 在 网 站 文件 分 析 中 找到 了 黑客 留 下 的 后 门 文件 ,或 者 其 他 本 来 不 属于 该 网 站 
的 可 疑 文件 , 则 可 直接 在 日 志 中 查找 这 些 文件 的 连接 记录 ,这 是 锁定 入 侵 者 的 最 直接 的 方 
式 , 因 为 只 有 入侵 者 才 了 解 这 些 可 疑 文件 的 位 置 、 文 件 名 以 及 访问 密码 (网 页 后 门 文件 一 般 
带 有 密码 ) 等 信息 ,所 以 成 功 访问 这 些 可 疑 文件 (服务 器 返回 代码 为 200) 的 访问 者 就 极 有 可 
能 是 人 侵 者 。 

日 志 分 析 要 注意 根据 记录 信息 的 不 同 进行 关联 ,依据 案件 相关 的 线索 建 模 ,最 终 找 出 日 
志 记 录 的 规律 。 
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2. Web 日志 分 析 

Web 日 志 作为 Web 服务 器 重要 的 组 成 部 分 ,详细 地 记录 了 服务 器 运行 期 间 客户 端 对 
Web 应 用 的 访问 请 求 和 服务 器 的 运行 状态 。 任 何 通 过 http 协议 对 网 站 的 访问 行为 都 会 被 
记录 到 Web 日 志 中 ， 案件 中 遇 到 最 多 的 日 志 也 是 Web 日 志 。 因 此 ,Web 日 志 是 案件 侦查 、 
尤其 是 黑客 人 侵 类 案件 侦查 的 最 为 重要 的 日 志 

Web 日 志 的 冉 认 存储 位 置 为 “%6systemroot96\systetn82NlogtissNwaave 间 ”, 其 中 井 为 
网 站 的 ID 号 (如 图 7. 58 所 示 )。 其 详细 准确 的 访问 日 志 格 式 及 保存 路 径 可 以 在 IIS 管理 器 
配置 中 获得 。 


:ANTNDOWSAsysten32\Logpiles 


图 7.58 利用 IIS 配 置 读 取 日 志 相 关 信息 


根据 这 个 配置 ,可 以 到 相应 的 目录 中 提取 对 应 网 站 的 日 志文 件 。 对 于 绝 大 多 数 
Windows 系统 而 言 ,默认 每 天 产生 一 个 日 志文 件 。 默 认 日 志文 件 的 名 称 格式 为 "ex 十 年 份 
的 末 两 位 数字 十 月 份 十 日 期 ”, 如 2015 年 9 月 20 日 的 日 志文 件 名 就 是 ex150920. log。 

IIS 的 日 志文 件 是 ASCII 格式 的 文本 文件 。 日 志文 件 的 开头 四 行 是 日 志 的 说 明 信 息 : 

“并 Software” 记 录 了 IIS 日 志 的 生成 软件 ;“ 直 Version” 记 录 了 日 志 的 版 本 号 ;“#Date” 记 
录 了 服务 启动 的 日 期 和 时 间 ;“#Fields” 的 含义 是 日 志 字 段 ,显示 记录 信息 的 格式 ,可 由 服 
务 器 部 署 者 在 设置 IIS 服务 时 自行 定义 所 需要 记录 的 内 容 , 其 常见 字段 如 表 7.12 所 示 。 


表 7.12 IIS 的 Web 日 志文 件 #Fields 常见 字段 


data 日 期 cs-username 客户 端 用 户 名 
time 时 间 cip 访问 服务 器 的 客户 端 IP 
s-ip 生成 日 志 项 的 服务 器 IP Ss-port 客户 端 连接 的 端口 号 
cs-method 请 求 方法 cs-version 客户 端 协议 版 本 
cs-urirstem 请 求 文件 cs(User-Agent) 客户 端 浏览 器 
cs-uri-query 请 求 参数 cs(Referer) 引用 页 
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下 文 以 一 段 Web 日 志 为 例 , 说 明 相 关 字 段 的 含义 ,如 图 7. 59 所 示 。 


#Software: Microsoft Internet Information Services 7.0 
#Version: 1.0 
#Date: 2016-01-12 01:27:21 


站 和 date time c-ip cs-username s-ip s-port cs-method cs-uri-stem 
s-uri-query sc-status cs(User-Agent) 

2016- 01-12 09:53:52 10. 33.1.1 - 10.33.1.10 80 

人 SET /index. htm - 200 Mozilla/5. 0+ (Windows;+U;+WindowstNT+5. 1,+zh-CN; 

由 tv:1. 8.1. 14)+Gecko/20080404tFirefox/2. 0.0.14 


图 7.59 JIS Web 日 志文 件 


。 # Software: Microsoft Internet Information Services 7.0: 日 志 的 生成 软件 为 IIS 7.0。 
。 井 Version: 1.0: 版 本 为 1.0。 
。 # Date: IIS 服务 启动 时 间 为 2016-01-12 01:27:21 。 
。 #Fields:date time c-ip cs-username s-ip s-port cs-method cd-uri-stem cs-uri-query 
sc-status cs(User-Agent) :日 志 主 体 。 
。 date: 2016-01-12: 客户 端 访 问 日 期 ,2016 年 1 月 12 日。 
。 time: 09:53:23: 客户 端 访 问 时 间 ,9 时 53 分 52 秒 。 
。 c-ip: 10.33.1.1: 客户 端 全 地 址 。 
s-ip: 10. 33. 1. 10: 服务 器 P 地 址 。 
s-port: 80 ,服务 器 端口 为 80(Http 服务 ) 。 
cs-method: GET: 数据 包 提 交 方 式 为 GET 方式 ,常见 的 有 GET 和 POST 两 种 
类 型 。 
cs-uri-stem: /index. html: 客户 端 请 求 文件 ,一 般 为 访问 的 基于 网 站 根 目 录 
的 URL。 
cs-uri-query: 200: Web 服务 器 响应 的 状态 码 ,200 表示 访问 成 功 。 
» cs(User-Agent): Mozilla/5. 0 十 (Windows; 十 U; 十 Windows 十 NT 十 5. 1; 十 zh- 
CN;-rv;1. 81.1. 14) 十 Gecko/20080101 十 Firefox/2. 0. 0. 14: 客户 端 浏览 器 和 系统 
环境 等 信息 ,访问 使 用 的 是 Firefox 浏览 器 。 
3. FTP 日 志 分 析 
JIS 的 FTP 日 志文 件 默认 存储 位 置 为 “%% systemroot% \ system32\ LogFiles\ 
MSFTPSVCI1NA”, 系 统 默 认 每 天 生成 一 个 日 志文 件 。 日 志文 件 的 名 称 格式 与 Web 日 志文 件 
的 命名 方式 一 致 .也 是 <ex 十 年 份 的 未 两 位 数字 十 有 份 十 日 期 ”的 方式 。 

与 Web 日 志 一 样 ,FTP 日 志文 件 的 开头 四 行 是 日 志 的 说 明 信 息 :“#Software” 记 录 了 
IIS 日 志 的 生成 软件 ;“# Version” 记 录 了 日 志 的 版 本 号 ;“# Date” 记 录 了 服务 启动 的 日 期 
和 时 间 ;“#Fields” 的 含义 是 日 志 字 段 ,显示 记录 信息 的 格式 ,可 由 服务 器 部 署 者 在 设置 IIS 
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服务 时 自行 定义 所 需要 记录 的 内 容 。FTP 日 志文 件 常见 字段 如 表 7. 13 所 示 。 
表 7.13 JIIS 的 FTP 日 志文 件 常见 字段 
cip 客户 端的 卫 地址 cs-uri-stem 请 求 内 容 的 名 称 
cs-username 客户 端 用 户 名 sc-status 请 求 的 状态 代码 
s-sitename 服务 器 的 站 点 名 sc-win32-status Windows 术语 中 的 状态 代码 
s-computername FTP 服务 器 名 sc-bytes 服务 器 发 送 的 字 节 数 
s-ip 服务 器 的 地址 cs-bytes 服务 器 收 到 的 字 节 数 
s-port FTP 服务 器 端口 号 time-taken 处 理 请 求 所 花费 的 时 间 
cs-method 客户 端 操作 请 求 


FTP 日 志 较 为 完整 地 记录 了 客户 端 通过 指定 端口 访问 服务 器 的 请 求 和 结果 。 侦 查 人 
员 可 以 依据 日 志 中 的 信息 ,还 原 某 一 用 户 使 用 FTP 协议 访问 服务 器 . 读 取 文件 的 过 程 。 


7.6.6 Windows 事件 日 志 分 析 


1. 事件 日 志 概 述 

事件 日 志 (Event Log) 是 Windows 系统 中 最 基本 的 日 志 , 它 记录 了 操作 系统 、 计 算 机 软 
硬件 甚至 是 安全 方面 的 大 量 信息 ,传统 认为 事件 日 志 主 要 包含 系统 日 志 、 应 用 程序 日 志和 安 
全 日 志 三 种 ,默认 情况 下 ,它们 分 别 对 应 三 个 日 志文 件 , 在 Windows XP、Windows 2000、 
Windows 2003 中 分 别 为 SysEvent. Evt、AppEvent. Evt、SecEvent. Evt, 位 于 “%WinDir%N 
system32\config” 目 录 下 ; 在 Windows 7、Windows 2008 及 其 以 后 版 本 为 System. evtx、 
Application. evtx ,Security. evtx, 位 于 “%WinDir%\System32\winevt\Logs” 目 录 下 。 

系统 日 志 主 要 跟踪 各 种 各 样 的 系统 事件 ,包括 Windows 系统 组 件 出 现 的 问题 ,例如 跟 
踪 系 统 启动 过 程 中 的 事件 、 硬 件 和 控制 器 的 故障 .启动 时 某 个 驱动 程序 加 载 失败 等 。 

应 用 程序 日 志 主 要 跟踪 应 用 程序 关联 的 事件 ,例如 应 用 程序 产生 的 装载 DLL( 动 态 链 
接 库 ) 失 败 的 信息 将 出 现在 日 志 中 。 

安全 日 志 主 要 记录 系统 中 与 安全 相关 的 事件 信息 ,如 登录 上 网 、 下 网 、 改 变 访问 权限 以 
及 系统 启动 和 关闭 。 

2. 事件 日 志 的 分 析 
事件 日 志 是 以 循环 缓存 方式 维护 的 , 当 新 的 事件 记录 被 添加 到 文件 中 , 旧 的 事件 记录 会 
被 循环 覆盖 。 事 件 日 志 的 文件 大 小 、 保 留 时 间 等 配置 被 保存 在 以 下 注册 表 键 中 ， 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\ Eventlog\ = 事 
件 日 志 过 。 

在 分 析 之 前 ,要 确认 一 下 事件 日 志保 存 的 情况 。 随 后 ,侦查 人 员 可 以 利用 Windows 系 
统 自 带 的 事件 查看 器 (Event Viewer) 对 事件 日 志 进 行 查看 ,事件 查看 器 是 事件 日 志 进 行 管 
理 的 图 形 化 工具 ,如 图 7. 60 所 示 。 
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: ”2014-12-29 来 源 G): crypt32 
: 10:16:45 类别 @): 无 
: 信息 事件 了 DD: 7 
:WA 

: 20140510-1229 


自动 更 新 检索 第 三 方 根 目录 序列 号 成 功 ， 从 : 
http: few. downmload windonsupdate. com/nsdownload/update/v 
static/trustedr/en/suthrootseq. txt> 


图 7.60 用 事件 查看 器 查看 Windows XP 中 的 事件 记录 


f 件 日 志 包含 的 主要 信息 有 时 间 戳 .系统 名 称 , 事 件 ID .事件 描述 等 ,其 中 每 一 个 事件 
ID 代表 一 种 状态 ,例如 ,常见 的 安全 日 志 中 的 登录 事件 ID 的 含义 @ 如 表 7. 14 所 示 。 


表 7.14 常见 登录 事件 ID 对 照 表 


事件 ID 说 明 
528 用 户 成 功 登录 计算 机 
529 用 户 使 用 系统 未 知 的 用 户 名 登录 ,或 已 知 用 户 使 用 错误 的 密码 登录 
530 用 户 账户 在 许可 的 时 间 范 围 外 登录 
531 用 户 使 用 已 禁用 的 账户 登录 
532 用 户 使 用 过 期 账户 登录 
533 不 允许 用 户 登 录 计算 机 
534 用 户 使 用 不 许可 的 登录 类 型 (如 网 络 .交互 .远程 交互 ) 进 行 登录 
535 指定 账户 的 密码 已 过 期 
536 Net Logon 服务 未 处 于 活动 状态 
537 登录 由 于 其 他 原因 而 失败 
538 用 户 注销 
539 试图 登录 时 账户 已 被 锁定 。 此 事件 表示 攻击 失败 并 导致 账户 被 锁定 
540 网 络 登录 成 功 
682 用 户 重新 连接 了 已 断 开 的 终端 服务 会 话 
683 用 户 在 未 注销 的 情况 下 断 开 终端 服务 会 话 


外 ”详细 事件 人 D 对 照 信息 可 到 微软 公司 官方 网 站 查阅 。 
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在 Windows 2003 之 后 ,安全 日 志 引入 了 工作 站 的 名 称 和 源 IP 地 址 (如 图 7. 61 所 示 )， 
这 对 分 析 工作 尤为 重要 。 


图 7.61 事件 记录 显示 了 IP 地 址 


Windows 日 志 分 析 使 用 事件 查看 器 效率 不 高 .可 以 利用 Windows 事件 日 志 查看 器 将 
日 志文 件 转 存 为 文本 文件 ,随后 使 用 文本 编辑 器 ,例如 UltraEdit 过 滤 分 析 , 如 图 7. 62 
所 示 。 

3. 事件 日 志 的 恢复 

很 多 情况 下 ,侵入 者 会 删除 日 志文 件 , 这 就 给 日 志 分 析 带 来 了 很 大 的 困扰 。 由 于 事件 日 
志 存 在 非常 明显 的 签名 值 (LfLe), 且 事件 记录 有 明确 的 数据 结构 ,侦查 人 员 可 以 利用 该 特 
征 作 为 关键 词 定 位 事件 日 志 的 头 部 ,对 硬盘 进行 搜索 , 读 取 第 一 个 DWORD 值 获取 记录 的 
长 度 , 再 根据 长 度 就 可 以 得 到 完整 的 事件 记录 了 。 这 个 方法 适合 事件 日 志文 件 搜索 .未 分 配 
空间 数据 恢复 .未 知 文件 搜索 等 , 且 即 使 部 分 数据 被 覆盖 ,前 56B 的 数据 也 提供 了 事件 日 志 
的 大 量 重要 信息 。 


7.6.7 Linux 系统 日 志 分 析 


1. Syslog 日 志 

大 部 分 Linux 发 行 版 默认 的 日 志 监 视 程序 为 Syslog, 其 路 径 为 /etc/ syslog 或 /etc/ syslogd， 
默认 配置 文件 为 /etc/syslog. conf。 在 配置 文件 中 按照 Syslog 格式 定义 保存 日 志 的 种 类 ,方法 ， 
对 应 的 日 志 就 可 以 按照 配置 要 求 保存 在 本 地 或 者 远程 服务 器 上 (参见 图 7. 63)。 
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图 7.62 利用 事件 查看 器 将 日 志 转 储 为 文本 文件 


划 ### 每 一 行 中 " 共 " 之 后 的 内 容 为 注释 

提 ### MODULES #### ”加 载 模块 

$ ModLoad imuxsock. so  # 加 载 本 地 系统 日 志 模 块 

$ ModLoad imklog. so ”# 加 载 核心 日 志 模 块 

#### 允许 514 端口 接收 使 用 UDP 协议 转发 过 来 的 日 志 , 实 际 未 开启 
# $ModLoad imudp. so 

间 ## 间 允许 514 端口 接收 使 用 TCP 协议 转发 过 来 的 日 志 , 实 际 未 开启 
# $ ModLoad imtcp. so 

并 ### 定义 日 志 格 式 默认 模板 

$ ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat 

#### 记录 所 有 info 级 别 以 及 大 于 info 级 别 的 信息 到 /var/log/messages 
#### 但 是 mail、authpriv 验证 和 cron 调度 任务 相关 的 信息 除外 

x . info;mail. none;authpriv. none; cron. none /var/log/messages 


划 ## 划 authpriv 验证 相关 的 所 有 信息 存 保存 到 /var/log/secure 


authpriv. * /var/log/ secure 

#### 邮件 的 所 有 信息 存放 在 /var/log/maillog; "一 "表示 采用 异步 方式 记录 
mail. * —/var/log/maillog 

#### 启动 相关 的 信息 保存 到 /var/log/boot log 

local7. * /var/log/ boot. log 

#### 所 有 大 于 等 于 emerg 级 别 的 信息 ,以 wall 方式 发 送 给 所 有 当前 登录 用 户 
*. emerg * 

并 ### PAM 认证 模块 产生 的 日 志 使 用 UDP 协议 发 送 到 192. 168. 0. 1 主机 
auth. * @192. 168.0.1 


图 7.63 Syslog. conf 范例 
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Syslog 日 志 根 据 如 下 的 格式 在 /etc/syslog. conf 中 定义 规则 : 


facility. priority action( 设 备 . 优先 级 动作 ) 


facility. priority 字段 也 被 称 为 selector( 选 择 条 件 ) ,选择 条 件 和 动作 之 间 用 空格 或 tab 
分 割 开 。 配 置 文件 中 会 使 用 到 标准 C 语言 里 定义 的 运算 符号 ,以 表达 与 ,或 . 非 、 包 含 等 概 


念 。 表 7.15 列 出 了 常见 的 日 


志 类 型 ( 即 facility 值 ), 但 并 不 是 所 有 的 Linux 发 行 版 都 包含 


表 7.15 Syslog 日 志 中 的 日 志 类 型 (facility 值 ) 
日 志 类 型 说 明 日 志 类 型 说 明 
认证 时 产生 的 日 志 ， in 命令 、 
ni 用 户 认 证 时 产生 的 日 志 , 如 login 命令 i 基本 可 过 
su 命令 

authpriv | 与 auth 类 似 , 但 是 只 能 被 特定 用 户 查 看 ‖ mark 产生 时 间 截 
console 针对 系统 控制 台 的 消息 news 网 络 新 闻 传 输 协议 (nntp) 产 生 的 消息 
cron 系统 定期 执行 计划 任务 时 产生 的 日 志 ntp 网 络 时 间 协 议 (ntp) 产 生 的 消息 
daemon | 某 些 守护 进程 产生 的 日 志 user 用 户 进程 
ftp FTP 服务 uucp UUCP 子 系统 

Local 至 
kern 系统 内 核 消息 90a 至 | 用 户 自 定义 使 用 

local7 
lpr 与 打印 机 活动 有 关 x 表示 所 有 的 facility 


Syslog 日 志 常 用 的 优先 级 如 表 7. 16 所 示 。 


表 7.16 Syslog 日 志 中 的 优先 级 字段 及 其 含义 


优先 级 字段 含 义 优先 级 字段 含 入 
debug 程序 或 系统 的 调试 信息 crit 比较 严重 的 
Info 一 般 信息 alert 必须 马上 处 理 的 
notice 不 影响 正常 功能 ,需要 注意 的 消息 emerg/oanic | 紧急 情况 ,会 导致 系统 不 可 用 
warning/ warn a 关 表示 所 有 的 日 志 级 别 
err/error 错误 信息 none 跟 * 相反 


Action 表示 对 日 志 的 操作 。 包 括 : 
。 将 日 志 输 出 到 文件 ,例如 “ftp. * 


/var/log/ftp. log” ,表示 将 ftp 相关 的 所 有 级 别 的 
信息 记录 到 绝对 路 径 */var/log/ftp. log” 文 件 中 ; 


。 将 消息 发 送 给 用 户 .多 个 用 户 用 逗号 (,) 分 隔 . 例 如 root: amrood; 


通过 管道 将 消息 发 送 给 用 户 程序 ,程序 要 放 在 管道 符 (|) 后 面 ; 


。 将 消息 发 送 给 其 他 主机 上 的 syslog 进程 ,例如 “auth. ==lhy@dlpolice. com”。 
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分 Linux 日 志 分 析 中 经 常用 y 的 几 个 命令 有 find,findstr、grep 和 egrep 等 ， 
也 可 使 用 相关 日 志 分 析 工 具 进 行 分 析 。 


工具 使 用 
根据 /etc/ syslog. conf 的 定义 ,Syslog 可 以 根据 日 志 的 类 别 和 优先 级 将 日 志保 存 到 不 同 的 


文件 中 。 例 如 ,为 了 方便 查阅 ,可 以 把 内 核 信息 与 其 他 信息 分 开 , 单 独 保存 到 一 个 独立 的 日 志 
文件 中 。 默 认 配 置 下 ,日 志文 件 通常 都 保存 在 /var/log 目录 下 。Syslog 日 志 的 内 容 见 图 7. 64。 


Ele Et Yew Hep 
人 中 国 主 贺 [oisplay 00 (Dcfau] 可 12 Deysleftine 
| Hostname | 


208.132.97.31 
09-27-2012 13:29:10 LocalO.Critical 215.57.221.47 Sep 27 13:29:10 BJS-003-Win2003 SyslogGen This is Syslog test 
09-27-2012 13:29:10 System3.Debug 222.96.144.194 Sep 27 13:29:10 BJS-003-Win2003 SysiogGen This is Syslog test 
09-27-2012 13:29:10 ”Local5 Criical 199.148.120.158 Sep 27 13:29:10 BJS-003-Win2003 SysiogGen This is Syslog test 
09.27-2012 13:29:10 Local6.Alert 212.225.146.101 © Sep 27 13:29:10 BJS-003-Win2003 SysiogGen This is Sysiog test 
09-27-2012 13:29:10 System4Alert 212.80.189.160 Sep 27 13:29:10 BJS-003-Win2003 SyslogGen Thisis Syslog test 
09-27-2012 13:29:10 System2 Warning 224.82.223.225 Sep 27 13:29:10 BJS-003-Win2003 SyslogGen This is Syslog test 
09-27-2012 13:29:10 System4.Notice 211.118.97.185 Sep 27 13:29:10 BJS-003-Win2003 SyslogGen This is Syslog test 
09-27-2012 13:29:10 Locali.Waining “209.202.119.89 Sep 27 13:29:10 BJS-003-Win2003 SysiogGen This is Syslog test 
09-27-2012 13:29:10 Lpr.Nolice 220.201.229.221 Sep 27 13:29:10 BJS-003-Win2003 SysiogGen This is Sysiog test 
09-27-2012 13:29:10 Local5 Emor 221.211.21.154 Sep 27 13:29:10 BJS-003-Win2003 SyslogGen This is Syslog test 
09-27-2012 13:29:10 Locali.Notice 197.122.152.202 Sep 27 13:29:10 的 5-003Win2003 SysiogGen This is Syslog test 
09-27-2012 13:29:10 Local6 Alert 205.47.191.161 ”Sep 27 13:29:10 BJS-003-Win2003 SysiogGen This is Sysiog test 
09-27-2012 13:29:10 Mailinfo 221.19.157.147 ”Sep 27 13:29:10 BJS-003-Win2003 SyslogGen This is Syslog test 
09-27-2012 13:29:10 Daemon.Eror 208.238.142.66 Sep 2713:29:10 BJS-003Win2003 SyslogGen This is Syslog test 


图 7.64 Syslog 日 志 范 例 


2. 用 户 登 录 和 认证 日 志 

Syslog 中 的 auth、authpriv 日 志 类 型 可 以 记录 用 户 的 登录 和 认证 信息 ,这 类 事件 和 系统 
使 用 以 及 安全 关联 很 大 。 如 果 没 有 配置 或 者 被 人 为 关闭 的 话 ,Linux 同时 还 有 另外 一 种 方 
式 对 它们 进行 记录 ,这 就 是 utmp、wtmp、btmp 账户 日 志 记录 。 

。 utmp 一 一 记录 系统 的 当前 账户 登录 信息 ,系统 启动 时 间 , 用 户 登 录 、 登 出 等 事件 ; 

。 wtmp 一 一 包含 utmp 的 历史 记录 事件 ; 

。 btmp 一 一 包括 失败 的 登录 尝试 事件 。 

这 些 文件 都 不 是 文本 文件 ,只 有 特定 的 应 用 程序 访问 才 可 以 对 这 些 日 志 进 行 解析 。 这 
些 日 志文 件 的 记录 直接 来 自 登 录 (login) 和 SSH 服务 程序 ,所 以 基本 是 强制 记录 的 。 如 果 
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侦查 人 员 不 能 解析 这 些 文件 ， 
图 7.65 所 示 。 


可 以 将 它们 复制 到 Linux 系统 中 ,使 用 行 解析 ,如 


last 命令 进 


landeubuntu:/var/1ogS last -f wtmp 


sun 
Sun 
Sat 
Sat 


logged 
logged 
logged 
system boot 
pts/0 168. Tue 
pts/8 Tue 
:0 Tue 
system boot 13.0-48-generi Tue 
:0 : Mon 
system boot 3.13.0-48-generi Mon 
prs/9 Wed 
pts/0 Wed 
:0 :0 Wed 
system boot 3.13.0-48-generi Wed 

:0 Wed 


-13.0-48-generi 
0.1 


图 7.65 文件 的 解析 和 显示 


wtmp 日志 


用 户 命令 行 日 志 

用 户 命令 行 历史 记录 (history) 清 晰 地 记录 了 用 户 妖 执行 了 哪些 操作 ,分 析 且 

户 的 历史 命令 记录 可 以 清楚 地 了 解 用 户 的 操作 行为 ,对 于 侦查 人 员 进 行 案件 还 原 帮 助 
A 如 果 采 用 与 用 户 相 同 的 shell UNIX/Linux 系统 , 则 可 以 通过 


相 


b: history 命令 查询 其 


iv 令 行 历史 信息 ,如 图 7.66 所 示 
中 land@ubuntu: ~ [ET 一 >x 一 | 
landeubunru:~$S history | more 
1s 
cd html/ 
la 
cd output/ 
ls 
Chmod atx /dev/shm/findz/*;cd /dev/shm/findx:;nohup ./workerg 
cd ~“:Killall worker;rm -rf /dev/shm/findx; 
mysql 
ES 
图 7.66 history 命令 可 以 显示 用 户 的 命令 行 历史 
history 命令 显示 的 历史 记录 来 自 shell 程 史记 录 文 件 。 需 要 注意 的 是 ,不 同 


序 的 命令 厅 
1 命 


shell 程序 的 历史 命令 记录 文件 亦 不 相同 ,常用 的 shell 命 


令 行 历史 记录 文件 名 如 表 7.17 所 示 。 
表 7.17 各 种 shell 的 历史 文件 名 称 


网 络 犯罪 侦查 技术 259 


shell 类 型 History 文件 
Bash . bash_history 
C-Shell history. csh 
K-Shell .sh_history 
POSIX .sh_history 
Z-Shell . history 


260 网 络 犯罪 侦查 


4. Apache 日 志 分 析 

Apache 实际 指 Apache HTTP Server, 是 Apache 软件 基金 会 的 一 个 开放 源码 的 网 页 
服务 器 ,可 以 在 大 多 数 计算 机 操作 系统 中 运行 。Apache 和 Linux 配合 具有 很 高 的 效率 ,是 
最 流行 的 Web 服务 器 端 软件 之 一 。 

Apache 的 日 志文 件 由 其 配置 文件 httpd. conf 设 定 ,该 文件 的 ErrorLog、CustomLog 等 
配置 项 决定 了 Apache 日 志 是 否 记 录 、 记 录 什 么 内 容 以 及 日 志文 件 的 存储 位 置 等 。 默 认 安 
装 Apache, 会 有 两 个 日 志文 件 生成 。 这 两 个 文件 是 access_log (在 Windows 上 是 access. 
log) 和 error _log (在 Windows 上 是 error. log)。 日 志保 存在 /usr/local/apache/logs 
(Windows 系统 ,保存 在 Apache 安装 目录 的 logs 子 目 录 下 )。 

访问 日 志 一 一 access_log 记录 了 所 有 对 Web 服务 器 的 访问 活动 。 下 例 是 access_log 中 


一 个 典型 记录 : 
218.24.121.17 — [19/Aug/2015:17:17:12 十 0800] "GET / HTTP/1.0" 200 654 "-" "Mozilla/5.0| 
(Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8) Gecko/201508722 Firefox/3.6.8 (.NET CLR| 
3.5.30757)" 


。 第 一 项 信息 是 远程 主机 的 地 址 (218. 24. 121. 17) ,这 是 访问 者 的 卫 地 址 。 

。 第 二 项 是 空白 ,用 一 个 “-” 占 位 符 替代 。 这 个 位 置 用 于 记录 浏览 者 的 标识 ,会 是 登录 
名 字 、Email 地 址 或 者 其 他 唯一 标识 符 。 这 个 信息 由 identd 返回 ,或 者 直接 由 浏览 
器 返回 。 由 于 有 人 用 它 收集 邮件 地 址 和 发 送 垃圾 邮件 ,已 经 被 废止 。 因 此 ,这 一 项 
全 部 都 是 *-”。 

。 第 三 项 也 是 空白 。 这 个 位 置 用 于 记录 浏览 者 进行 身份 验证 时 提供 的 名 字 。 当 然 , 如 
果 网 站 的 某 些 内 容 要 求 用 户 进行 身份 验证 ,那么 这 项 信息 不 会 是 空白 的 。 

。 第 四 项 是 访问 的 时 间 。 这 个 信息 用 方 括号 包围 ,上 例 日 志 记录 表示 请 求 的 时 间 是 
2015 年 8 月 19 日 星期 三 17:17:12。 时 间 信 息 最 后 的 “十 0800” 表 示 服 务 器 所 处 时 
区 位 于 UTC 之 后 的 8 小 时 ,也 就 是 中 国 时 区 。 

。 第 五 项 信息 是 服务 器 收 到 的 请 求 类 型 。 格式 是 “METHOD RESOURCE 
PROTOCOL”, 即 “方法 资源 协议 ”。METHOD 在 此 处 是 GET, 其 他 经 常 可 能 出 现 
的 METHOD 还 有 了 POST 和 HEAD,RESOURCE 是 指 浏 览 者 向 服务 器 请 求 的 文档 
或 URL。 在 这 个 例子 中 ,浏览 者 请 求 的 是 “/”, 即 网 站 的 主页 或 根 。PROTOCOL 通 
常 是 HTTP, 后 面 再 加 上 版 本 号 。 

。 第 六 项 信息 是 状态 代码 。 表 明 请 求 是 成 功 还 是 错误 。 

。 第 七 项 表示 发 送 给 客户 端的 总 字 节 数 。 

。 随后 还 可 能 会 有 访问 者 的 浏览 器 信息 。 这 些 浏 览 器 信息 好 比 指纹 ,可 以 判断 出 使 用 
者 的 计算 机 特征 。 
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在 某 些 大 型 服务 器 上 ,日 志文 件 可 能 定制 ,由 httpd. conf 文件 中 用 LogFormat 和 
CustomLog 两 个 指令 来 设 定 。 


分 Apache 日 志 可 以 使 用 免费 的 脚本 AWStats 或 Visitors 进行 分 析 。 专 用 
的 工具 有 了 弘 连 网 矩 日 志 分 析 系统 `Web Log Explorer 等 软件 。 
工具 使 用 


5. Tomcat 日 志 分 析 

Tomcat 也 是 由 Apache 软件 基金 会 支持 开发 的 支持 Java 的 、 开 放 源 代码 的 免费 Web 
应 用 服务 器 ,属于 轻 量 级 应 用 服务 器 ,在 中 小 型 系统 和 并 发 访问 用 户 不 是 很 多 的 场合 下 被 普 
遍 使 用 ,是 开发 和 调试 JSP 程序 的 首选 。 

默认 tomcat 不 记录 访问 日 志 , 要 使 其 记录 日 志 , 应 编辑 $ {tomcat 的 安装 目录 }/conf/ 
server. xml 文件 ,把 以 下 的 注释 (二 ! 一 一 一 一 >>) 去 掉 即 可 。 


滑 志 声 

< Valve className= "org. apache. catalina. valves. AccessLogValve" 
directory= "logs" prefix= "localhost_access_log." suffix=".txt" 
pattern= "common" resolveHosts= "false"/> 

a 


Tomcat 日 志文 件 位 置 和 文件 名 也 在 上 述 directory 和 prefix 等 栏目 中 进行 配置 ， 
Tomecat 日 志 的 基本 格式 与 Apache 日 志 的 格式 十 分 类 似 ,其 创建 和 配置 的 方法 也 相同 。 


7.6.8 小 结 


日 志 记录 了 违法 犯罪 分 子 的 网 络 行为 。 网 络 犯罪 侦查 的 第 一 要 务 就 是 日 志 固定 和 分 
析 , 目 的 是 从 日 志 中 获取 网 络 犯罪 的 线索 和 行为 ,为 下 一 步 侦查 打 好 基础 。 因 此 ,侦查 人 员 
应 当 掌握 日 志 分 析 的 技术 ,以 便 在 犯罪 现场 开展 工作 。 


7.7 电子 邮件 分 析 技 术 


7.7.1 电子 邮件 概述 


电子 邮件 中 是 “由 计算 机 生成 ,处 理 , 并 通过 电子 邮件 系统 经 由 网 络 发 送 和 接收 的 电子 
信息 。 它 包括 信息 文本 及 其 附件 ”, 属 于 最 早 的 网 络 应 用 之 一 。 虽 然 近 年 来 即时 通信 软件 的 


外 刘 浩 阳 . 电子 邮件 的 侦查 与 取证 . 辽宁 警 专 学 报 .2007(5) : 27-31 


262 网 络 犯罪 侦查 


迅速 发 展 ,使 得 电子 邮件 的 使 用 逐步 萎缩 ,但 是 在 商业 沟通 和 个 人 交流 中 ,电子 邮件 的 普及 
率 仍然 很 高 。 根 据 中 国 互联 网 中 心 (CNNIC) 的 统计 ,电子 邮件 的 使 用 率 为 36. 8%% ,用 户 规 
模 为 2. 61 亿 四 。 很 多 网 络 犯 罪案 件 中 都 涉及 电子 邮件 的 分 析 。 侦 查 人 员 需 要 掌握 相应 的 
分 析 技巧 和 技术 。 


7.7.2 涉及 电子 邮件 的 网 络 犯罪 


电子 邮件 是 传统 “邮件 ”的 电子 化 ,双方 依据 电子 邮件 地 址 进行 往来 ,公司 或 者 私人 的 电 
子 邮 件 一 般 是 公开 的 ,这 种 开放 性 滋生 了 针对 电子 邮件 的 网 络 犯罪 活动 ,主要 有 以 下 几 类 。 

1. 涉及 电子 邮件 的 网 络 诈骗 

电子 邮件 的 应 用 方向 已 经 从 个 人 逐步 转向 商业 应 用 。 众 多 的 商业 机 构 还 利用 电子 邮件 
进行 客户 联系 。 有 些 犯 罪 嫌 疑 人 利用 黑客 技术 侵入 企业 的 电子 邮箱 ,截取 企业 与 客户 的 来 
往 邮 件 , 然 后 冒充 当 事 企 业 给 客户 发 邮件 更 改 收 款 账号 ,骗取 汇款 实施 网 络 诈 骗 。 

2. 涉及 电子 邮件 的 网 络 盗 份 

利用 电子 邮件 的 群发 机 制 ,批量 发 送 带 有 木马 的 电子 邮件 , 当 被 害 人 单 击 邮件 中 的 附件 
时 ,控制 被 害 人 计算 机 设备 ,以 达到 进一步 的 犯罪 目的 ,这 种 利用 电子 邮件 进行 “钓鱼 ”的 犯 
罪 活动 ,是 网 络 犯罪 的 一 大 类 型 。 

3。 涉及 电子 邮件 散布 违法 和 不 良 信息 

不 法 分 子 传播 淫秽 色情 信息 、 贩 卖 迷 药 、 代 开发 票 等 电子 邮件 也 充斥 在 网 络 上 。 

除 此 以 外 ,还 有 些 犯 罪 活动 ,例如 恐吓 . 裔 诈 勒 索 ,也 会 利用 电子 邮件 进行 。 


7.7.3 电子 邮件 的 传输 原理 


理解 电子 邮件 在 网 络 上 传输 需要 明白 以 下 概念 : 

1.MUA(Mail User Agent, 邮 件 用 户 代 理 ) 

MUA 是 邮件 阅读 或 发 送 程序 ,如 Foxmail、Outlook, 在 邮件 系统 中 用 户 只 与 MUA 打 
交道 ,MUA 将 邮件 系统 的 复杂 性 与 用 户 隔 离开 。 

2. MTA(Mail Transfer Agent .邮件 传 输 代理 ) 

MTA 是 一 个 专用 程序 ,其 作用 类 似 于 邮局 ,用 于 在 两 个 机 器 之 间 发 送 邮 件 ,MTA 决定 
了 邮件 到 达 目 的 地 的 路 径 。 常 用 的 MTA 有 Sendmail、Qmail、Postfix 等 。 

3. MDA(Mail Delivery Agent ,邮件 递交 代理 ) 

MTA 自己 并 不 完成 最 终 的 邮件 发 送 ,需要 调用 其 他 的 程序 来 完成 最 后 的 投递 服务 ,这 
个 负责 邮件 递交 的 程序 就 是 MDA。 最 常用 的 MDA 有 Procmail 等 。 

图 7. 67 是 电子 邮件 传输 的 示意 图 。 发 送 方 利用 MUA 写 好 邮件 , 交 给 发 送 方 的 MTA， 
发 送 方 的 MTA 通过 中 继 MTA 将 邮件 传送 到 接收 方 的 MTA。 中 继 MTA 可 以 没有 ,也 可 


台 第 36 次 中 国 互联 网 络 发 展 状况 统计 报告 . CNNIC, 2015 
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以 是 多 个 。MTA 与 MTA 之 间 的 通信 协议 是 SMTP。MDA 将 邮件 递交 给 接收 方 的 邮箱 ， 
电子 邮件 可 以 通过 客户 端 ,使 用 POP3/IMAP、SMTP 协议 收发 电子 邮件 ,或 者 通过 在 线 访 
问 , 使 用 HTTP 协议 收发 电子 邮件 。 


本 地 邮件 nt 本 地 邮件 
存储 服务 器 存储 服务 器 


POP 或 


客户 机 客户 机 客户 机 客户 机 


图 7.67 电子 邮件 传输 过 程 


7.7.4 电子 邮件 的 编码 方式 


1. 编码 的 必要 性 

电子 邮件 相关 规则 由 万 维 网 联盟 (W3C) 的 RFC(Request for Comments ,征求 修正 意见 
书 ) 定 义 。RFC 包含 与 互联 网 有 关 的 一 系列 技术 资料 草案 ,与 电子 邮件 相关 的 重要 文档 主 
要 包括 RFC821、RFC822、RFC1939D。 其 中 RFC822@(Standard for ARPA Internet Text 
Messages, 已 经 被 RFC2822 取代 ) 协 议定 义 了 电子 邮件 主体 结构 和 邮件 头 字段 ,但 是 没有 定 
义 邮 件 体 的 格式 。 针 对 这 个 问题 ,万 维 网 联盟 (W3C) 发布 MIME(Multipurpose Internet 
Mail Extensions) 作 为 RFC822 协议 的 扩展 ,能 在 邮件 体 包含 文本 图像 .音频 、 视 频 等 数据 。 
因此 ,现在 电子 邮件 内 容 的 主要 编码 方式 是 MIME。 

2. 常见 的 编码 标准 

电子 邮件 的 编码 有 多 种 格式 ,这 些 编码 保证 了 数据 的 正常 传输 。 


DD http://www. rfc-editor. org/in-notes/rfc-index. txt 
回 http://www.w3.org/Protocols/rfc822/ 
®@ http://www. rfc-editor. org/info/rfc1521 
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1) GB2312/GBK 

俗称 “国标 码 ”, 一 般 应 用 于 邮件 主题 。 

2) UU 编码 (UNIX to UNIX encoding) 

uuencode 和 uudecode 原来 是 UNIX 系统 中 使 用 的 编码 和 解码 程序 ,后 来 被 改写 成 为 
在 DOS 中 亦 可 执行 的 程序 。 在 早期 传送 非 ASCII 码 的 文件 时 ,最 常用 的 便 是 这 种 UU 编 
码 方式 。 

UU 编码 并 非 只 能 编码 中 文 文字 。 任 何 你 要 寄 送 的 文件 包括 . exe 等 二 进 制 文件 都 可 
以 按照 编码 一 发 送 一 收 信 方 收 信 一 解码 还 原 的 步骤 传送 。 

3) MIME 标准 (Multipurpose Internet Mail Extentions) 编 码 
于 SMTP 只 能 传送 7 位 的 ASCII 码 邮件 ,而 非 英 文字 母 、 可 执行 文件 .声音 、 图 像 文 
件 等 二 进 制 文件 不 能 附 在 邮件 中 传输 ,因此 通过 通用 Internet 邮件 扩充 (Multipurpose 
Internet Mail Extensions,MIME) 标 准 扩 展 邮件 内 容 。MINE 的 目的 是 继续 使 用 目前 的 
Internet 文本 报 文 格式 ,但 定义 了 邮件 主题 的 结构 和 传送 非 ASCII 码 的 编码 规则 , 如 
图 7.68 所 示 。 


用 户 


非 ASCII 码 非 ASCII 码 
MIME 


7 位 ASCII 码 7 位 ASCII 码 
SMTP 


图 7.68 ASCII 和 MIME 的 转换 


MIME 标准 现 已 成 为 电子 邮件 信 体 编码 的 主流 。 它 的 优点 是 可 将 多 种 不 同文 件 一 起 
打包 后 传送 。 发 信人 只 要 将 要 传送 的 文件 选 好 , 它 在 传送 时 即时 编码 , 收 信人 收 到 邮件 时 解 
码 还 原 , 完 全 自动 化 ,非常 方便 。 先 决 条 件 是 双方 的 软件 都 必须 具有 相同 的 编 解 码 功 能 。 使 
用 这 种 方式 ,用 户 根本 不 需要 知道 它 是 如 何 编码 /解码 的 。 所 有 工作 由 电子 邮件 软件 自动 


于 MIME 的 方便 性 ,现在 最 常 使 用 的 电子 邮件 软件 Outlook、Foxmail 等 就 是 采用 
MIME 方式 。 

MIME 定义 两 种 编码 方式 : Base64 与 QP(Quote-Printable)。QP 的 规则 是 对 于 资料 
中 的 7 位 无 须 重复 编码 , 仅 将 8 位 的 数据 转 成 7 位, 类似" 二 Cl=F5 二 EE 二 A3 二 B3 二 BD”。 
QP 编码 适用 于 非 ASCII 码 的 文字 内 容 , 例 如 中 文 文 件 。 而 Base64 的 编码 规则 是 将 整个 文 
件 重 新 编码 成 7 位 ,通常 用 于 传送 二 进 制 文件 。 编 码 的 方式 不 同 会 影响 编码 之 后 的 文件 大 
小 ,而 具有 MIME 功能 的 E-mail 软件 都 能 自动 判别 你 的 邮件 是 采用 何 种 编码 ,然后 自动 选 
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择 用 QP 或 Base64 解码 。 

4) Binhex 编码 

Binhex 的 编码 方式 常用 于 Mac 机 器 ,在 PC 上 是 较 少 使 用 此 种 编码 方式 。 一 般 PC 上 
的 电子 邮件 软件 , 亦 多 数 支 持 MIME 的 规格 ,很 少 支持 Binhex 格式 。 


7.7.5 电子 邮件 的 分 析 技 术 


电子 邮件 的 收发 方式 主要 有 两 种 : 一 种 是 利用 邮件 客户 端 另 一 种 是 使 用 浏览 器 以 
Web 访问 方式 直接 登录 。 

基于 客户 端 收发 的 电子 邮件 是 通过 SMTP 和 POP3/IMAP 协议 来 进行 收发 的 。 由 于 
网 络 的 普及 ,基于 客户 端 收发 电子 邮件 一 般 应 用 于 企业 、 商 务 来 往 , 邮 件数 量 比 较 大 的 情况 ， 
客户 端 软件 主要 为 Foxmail、Outlook 等 。 

Web 收发 电子 邮件 是 目前 比较 流行 的 邮件 应 用 。 它 是 基于 Web 的 电子 邮件 收发 系 
统 。 用 户 使 用 浏览 器 ,直接 访问 网 络 邮箱 CHTTP 协议 ) ,不 需要 借助 客户 端 , 网 络 邮箱 屏蔽 
了 用 户 接 收 邮件 的 复杂 配置 ,方便 用 户 收发 邮件 。 在 线 的 电子 邮件 服务 主要 有 网 易 163、 
126 .188 邮箱 .新浪 邮箱 .QQ 邮箱 .Gmail 邮箱 等 。 

1. 电子 邮件 存储 位 置 

Outlook 是 OFFICE 办 公 套 件 的 一 部 分 。 在 安装 OFFICE 时 可 以 选择 安装 
OUTLOOK。 其 电子 邮件 数据 默认 存储 在 *C:\Users\ {username)\Documents\Outlook 文 
件 \D*” 下 以 pst 为 后 组 的 文件 中 。 

Foxmail 早期 的 电子 邮件 默认 存储 路 径 在 安装 目录 下 的 mail\ {User ID 八 。 邮 箱 后 组 
为 box ,邮件 内 容 不 加 密 。 目 前 Foxmail7 默认 存储 路 径 在 安装 目录 下 的 Data\mails, 已 
采用 加 密 保存 。 

2. 邮件 头 查 看 

邮件 头 作为 电子 邮件 最 重要 的 部 分 ,存储 了 电子 邮件 传输 过 程 的 重要 信息 。 侦 查 取 证 
人 员 可 以 通过 邮件 头 来 检索 电子 邮件 传输 的 路 线 ,定位 发 送 者 的 IP 地 址 。 对 于 客户 端 和 在 
线 电子 邮箱 ,查看 邮件 头 的 方式 是 不 一 样 的 。 

1) Microsoft Outlook 

Outlook 随 着 版 本 的 不 同 ,查看 邮件 头 的 方式 不 一 样 。 以 Outlook 2010 为 例 , 查 看 邮件 
头 的 方法 是 双击 打开 邮件 ,在 圈 中 点 击 箭头 ,如 图 7.69 所 示 。 

2) Foxmail 

Foxmail 当前 最 新 版 本 为 7.2, 其 查看 邮件 头 的 方法 为 : 选中 邮件 , 右 击 邮件 的 主题 ,在 
弹出 的 快捷 菜单 中 选择 “更 多 操作 ”一 “查看 邮件 源码 ”命令 ,如 图 7.70 所 示 , 邮 件 头 信息 如 
图 7.71 所 示 。 


D Windows7/10 
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重要 性 @): 
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口 请 在 送 达 此 邮件 后 给 出 “ 送 达 ” 回 执 中) 
口 请 存 同 该 此 由 件 后 给 出 “ 


已 挛 " 的 BD) 
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无 
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图 7.69 在 


3) 在 线 邮 箱 


LEE 


Outlook 中 查看 邮件 头 


在 线 邮 箱 的 种 类 繁多 ,其 查看 邮件 头 的 方法 也 不 一 样 。 某 些 在 线 邮 箱 还 不 允许 查看 邮 
件 头 ,需要 使 用 客户 端 将 邮件 下 载 下 来 才能 够 查看 邮件 头 。 


(1) 163、126 在 线 邮 箱 ( 如 图 7.72 所 
(2) QQ 在 线 邮 箱 ( 如 图 7.73 所 示 ) 。 


示 ) 。 


邮件 的 右 侧 , 单 击 向 下 展开 符号 x ,出 现 功能 选项 。 
除 此 之 外 ,搜狐 邮箱 查看 邮件 头 的 方法 是 : 在 邮件 正文 中 , 单 击 下 方 “ 源 文件 ” 即 可 查 
看 。Gmail 查看 邮件 头 的 方法 是 : 打开 邮件 ,显示 阅读 窗口 : 单 击 回复 旁边 的 箭头 ,选中 * 显 


示 原 始 邮件 选项 即 可 查看 邮件 信 头 。 
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图 7.70 选择 “查看 邮件 源码 ”命令 


Recelved from 13 35163 com (1218 24 8 50] ) by 
ajax-webmai-wmswr163 (Coremail); Tue, 16 Feb 2016 15-46:47 +0800 
{GMT+08:00) 

X-OrginatingP: 21824 讲 so 

Date: Tue, 16 Feb 2016 15:46:47 +0800 (GMT+08:00) 

Fro 3 13 163 com> 

Tar wpzc2016 <witzc2016 人 @@163 com> 

Subject =?GB18030?B?tefX09PKvP631s727?= 

X-Priority: 3 


X-Mailer. Coremail Webmail Server Version SP_ntes V3.5 build 
20150911(74783.7961) Copyright (c) 2002-2016 www mailtech cn 163com 
In-Reply-To: <20160216 OND64125546@0163 com> 

References: <20160216 WG412554@ 163.com> 


X-CM-CTRLDATA. 5u*sBWZvb3RidgodG09MTU5MTo5 


Content-Type: mulaparirelated 
boundary="—=_Part_27232_681503506.1455608807490" 

MIME-Version: 10 

Message-ID. <5b652c5c23c1.152e90bc07LCorernall 139WWW 3@ 163.com> 

X-CM-TRANSID. 08GowACnIdio08 WGeoHAA— 41303W 

X-CM-Senderinfo hzoi66jisqii6rmihhfrpy1tblSAgRDFXIdTVJdAAAsQ 

X-Coremail-Antispam: 105529EdanBc71UUUUU7vcSsGMC2KinmUU 一 


图 7.71 邮件 头 信息 
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图 7.72 邮件 中 单 击 “ 更 多 ”一 >“ 查看 信 头 "命令 


电子 邮件 分 析 广 

发 件 人 : wlfzzc2016 <wifzzc2016@163.com> 医 

时 间 : 2016 年 2 月 16 日 (星期二 ) 下 午 3:53 

收 件 人 ; 太阳 风 <1 革 哇哇 6@qq.com> 

大 小 :3.7M 

打印 | 显示 邮件 原文 | 导出 为 em 文件 | 邮件 有 妃 码 了 | 转发 到 脆 部 件 | 保存 到 记事 本 | 添加 到 日 历 | 作为 附件 转发 | 有 者 乔 译 | 局 震 楼 译 


电子 邮件 分 析 范例 


图 7.73 单 击 “显示 邮件 原文 * 选 项 


3. 分 析 电 子 邮 件 头 
除非 使 用 转发 服务 器 和 高 级 伪造 技术 。 和 否则 电子 邮件 中 总 会 包含 发 件 人 身份 的 有 效 信 
息 , 根 据 RFC2822 的 定义 ,邮件 头 说 明 如 表 7.18 所 示 。 


Received 


表 7.18 RFC2822 对 邮件 头 的 规定 
说 明 

MTA 轨迹 ,邮件 每 经 过 一 个 MTA, 都 要 在 流转 的 邮件 头 的 开始 部 分 增 
加 一 个 Received 字段 。 这 个 字段 包括 上 一 个 发 送 方 和 下 一 个 接收 方 的 信 
息 。 相 当 于 中 间 邮 局 的 邮戳 。 例 如 
Received: from B by A 
Received: from C by B 
Received: from D by C 
说 明 该 邮件 是 由 了 D 发 给 A 
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续 表 
字 段 说 明 
MIME-Version MIME 版 本 信息 
Message-ID 邮件 系统 在 创建 邮件 时 的 唯一 编号 
邮件 被 发 送 时 的 时 间 惟 ,例如 “Wed, 13 Jan 2016 16:01:17 十 0800”, 表 示 
Date 2016 年 1 月 13 日 16:01:17 发 送 的 ,邮件 服务 器 时 间 采 用 的 时 区 是 北京 
时 区 (GMT 十 8) 
From 发 送 方 
To 接收 方 
Ce 副本 接收 方 
Bec 密 件 收 件 方 
Subject 邮件 主题 ,例如 * 一 ?gb18030? B? tefX09PKvP7Iodak? 二 "(GBK 编码 ) 
date 邮件 的 发 送 时 间 
Reply-To 回复 时 的 接收 方 
X-Priority 邮件 优先 级 
X-Originating-IP 发 送 方 原始 IP 地 址 
邮件 发 送 方式 
X-Mailer Webmail 方式 一 般 为 Coremail 之 类 的 邮件 服务 器 信息 ; 客户 端 方式 一 般 
为 Foxmail 7. 2 等 信息 
邮件 内 容 的 数据 类 型 ,标识 邮件 内 容 数据 类 型 ,包含 主 类 型 与 子 类 型 两 方 
面 信息 , 主 类 型 声明 了 数据 类 型 ,而 子 类 型 则 为 该 数据 类 型 指定 了 特定 格 
Content-Type 式 , 二 者 用 和 斜 杠 “/”" 隔 开 。 邮 件数 据 类 型 共 7 种 ,分 别 是 : 文本 类 型 
(Text) .多 部 件 类 型 (Multipart) .消息 类 型 (Message) .图 像 类 型 (Image)、 
音频 类 型 (Audio) .视频 类 型 (Video) .应 用 类 型 (Application) 
Content-Transfer-Encoding | 邮件 内 容 的 编码 ,例如 base64 


其 中 ,Received 头 和 Message-ID 是 追踪 电子 邮件 的 最 有 用 的 两 种 信息 。 

1) Received 头 

邮件 中 的 From 和 To 是 由 发 件 人 自己 规定 的 ,一 些 垃圾 邮件 发 送 者 为 欺骗 邮件 系统 和 
用 户 通常 伪造 From 地 址 。 但 在 邮件 头 部 中 Received 信息 是 由 服务 器 自动 加 上 去 的 ,通过 
比较 Received 域 (特别 是 第 一 次 经 过 的 邮件 服务 器 的 Received 域 ) 可 以 识别 出 伪造 的 发 件 
人 地 址 。Received 头 包 含 了 电子 邮件 地 址 和 下 地址。 虽然 Received 头 易于 伪造 ,但 是 对 
于 发 件 人 的 信息 (也 就 是 处 于 最 底层 的 Received 头 ) .基本 上 是 不 可 能 伪造 的 。 这 就 为 分 析 
人 员 确 定 邮件 发 送 源 计算 机 IP 地 址 提供 了 最 有 效 的 信息 。 除 此 之 外 ,能 够 显示 发 送 源 计算 
机 IP 的 还 有 X-Originating-IP 标识 符 。 
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2) Message-ID 

Message-ID 是 邮件 系统 在 创建 邮件 时 的 唯一 编号 (参考 RFC28220)。 这 是 由 发 件 方 
邮件 服务 器 赋 给 这 封 邮 件 的 编号 。 与 其 他 编号 不 同 , 这 个 编号 自始至终 跟随 邮件 ,是 全 球 唯 
一 的 ,两 个 不 同 的 电子 邮件 不 会 有 相同 的 Message-ID。 它 和 Received 头 中 的 ESMTP ID 
号 是 不 一 样 的 。Message-ID 是 一 直 伴随 整个 邮件 的 ,而 其 他 ID 则 仅仅 在 特定 的 邮件 服务 
器 上 的 邮件 传输 阶段 相关 联 。 因 此 该 机 器 ID 号 对 其 他 机 器 来 说 没有 任何 意义 。 有 时 候 
Message-ID 中 包含 了 发 送 者 邮件 地 址 和 发 送 时 间 。 

虽然 Message-ID 也 会 被 伪造 。 但 是 大 部 分 情况 下 , 它 可 以 提供 有 效 的 信息 。 在 犯罪 嫌 
疑 人 已 经 删除 了 计算 机 上 的 电子 邮件 后 ,还 可 以 通过 检查 MTA 上 的 发 送 记录 ,通过 
Message-ID 确定 犯罪 嫌疑 人 发 送 机 器 的 IP 地址 。 这 在 自己 架设 电子 邮件 服务 器 的 企业 中 
尤为 有 用 。 

4. 查看 信 体 内 容 

目前 绝 大 多 数 电子 邮件 编码 方式 是 遵守 MIME 编码 标准 的 ,MIME 标准 包括 QP 和 
base64 两 种 编码 方式 。 邮 件 信 体 不 经 过 解码 是 无 法 正常 查看 的 。 

QP 编码 的 方式 ,是 将 一 个 字 节 用 两 个 十 六 进 制 数值 表示 ,然后 在 前 面 加 “= 二”。 所 以 经 
过 QP 编码 后 的 文字 通常 是 如 下 的 样子 : 

B5=E7=D7=D3=D3=CA=BC=FE=B7=A2=CB=CD=B9=FD=B3=CC 

B2=E2=CA=D4=A3=Al 

Base64 是 网 络 上 最 常见 的 用 于 传输 8B 代码 的 编码 方式 之 一 ,Base64 编码 后 的 文字 通 
常 是 : tefX09PKvP630svNuf2zzLLiytSjoQ= 二 = 二。 

解码 只 是 编码 的 逆 过 程 。 


在 实际 分 析 应 用 中 ,现场 解码 效率 很 低 , 因 此 有 必要 使 用 工具 辅助 解码 。 
在 分 析 过 程 中 ,多 使 用 乱码 察看 器 (如 图 7.74 所 示 )。 更 为 专业 的 邮件 分 析 工 
具有 Intella 和 Nuix Forensics 。 


工具 使 用 


例如 ,一 封 使 用 base64 编码 的 电子 邮件 ,在 Foxmail 中 查看 信 体 ,编码 如 图 7.75 所 示 。 

5. 邮箱 登录 信息 

如 果 邮 箱 被 盗 , 可 以 利用 邮箱 登录 信息 确定 嫌疑 人 的 登录 信息 ; 也 可 以 通过 查看 邮箱 
的 注册 信息 ,确定 邮箱 使 用 者 的 其 他 信息 。 例 如 163 邮箱 ,在 邮箱 信息 中 可 以 查看 捆绑 的 手 
机 号 ,如 图 7.76 所 示 。 


http://www. rfc-editor. org/info/rfc2822 
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多 乱码 察看 天 v2. 60 

| 编 加 : mg WE QP 到 | 解码 : MME WE QP 地 ML 其 地 自动 | 打开 保存 

| 晤 攀 X|| 内 砚 苇 换 : BTc5-X68 39-165 | | 选项 - 示例 - 关于 「 ” ”二 | 返回 扩 
广 窗 口 ( 只 要 拖 动 文件 至 此 即 可 在 源 窗 口中 打开 


DQal59fT08q8/reiy825/bPIsuLK1KOhCQkJCQOKLSOtLSOtLSOtLSOtLSONCsyr0fS35m0KIUjAm 
Ni OwNCOyNeO! 


结果 窗口 〈 只 要 扼 动 文件 至 此 即 可 在 结果 窗口 中 打开 ) 


电子 邮件 发 送 过 程 测试 ! 


太阳 风 
2006-04-26 


图 7.74 使 用 乱码 察看 器 解码 


IQal59fT08q8/reiy625/bPWsuLXIKDhC9kKJCQOKLSOtLSDtLSOtLSOtLSONCsyr0fS3Sw0RHjAw 
MiOwHCOyNeOK 


图 7.75 Base64 编码 的 信 体内 容 


wifzzc2016@163.com ~ 分 号 信 ” 手机 版 | 升级 服务 ~ | 设置 ^ 


1635nens 


wifzzc2016@163.com 


wlfzzc2016@163.com(2) 网 易 7" 雍 x 网 时 
口 139425 功 加 @163.com 
帐户 千 理 | 密码 修改 ‖ 升级 VIP 服 务 | 公正 邮 

收 件 箱 (2) 

了 红旗 邮件 中) 

© 符 力 邮件 说 

仿 星 标 联 系 人 邮件 

Si 关联 邮箱 

已 发 送 将 不 同 用 注 的 郎 征 关 卫 在 一 起 , 无 关 登 录 即 可 项 意 切 接 立即 添加 

》 其 他 2 个 文件 实 一 一 一 


图 7.76 可 以 看 出 捆绑 的 手机 号 为 139426XXXXXx” 


通过 “最近 登录 "一 > 详情 ?命令 可 以 查看 登录 信息 ,如 图 7.77 所 示 。 

6. 邮件 时 间 

电子 邮件 中 发 送 、 转 发 和 接收 时 间 有 时 候 会 不 延续 ,可 能 的 原因 : 一 是 发 送 方 伪造 时 
间 ; 二 是 发 送 客 户 端 计算 机 、 发 送 服 务 器 时 间 未 与 中 国 地 区 标准 时 间 校 准 , 会 出 现 三 者 时 间 
不 延续 的 问题 ,例如 发 送 时 间 晚 于 转发 时 间 。 而 且 这 种 误差 并 不 恒定 。 经 过 实验 证 实 , 发 送 
邮件 时 ,可 能 会 发 生 延 迟 (例如 邮件 数量 和 容量 较 大 )。 根 据 电子 邮件 相关 标准 规定 ,发 送 时 
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最 近 登 录 详情 。 最 近 异 常 登 录 详 情 


城市 和 ip 豆 录 产品 一 录 时 间 ( 以 北京 时 间 为 标准 ) 

辽宁 省 ( 218.24. 恒 一) 163 闻 条 2016-01-13 16:23:38 ( 19 分 钟 前 ) 

辽宁 吉 (218241 国 四 ) 163 邮 箱 2016-01-13 16:04:42 ( 37 分 钟 前 ) 

辽宁 吉 (218241 且 有) 163 闻 箱 2016-01-13 15-39:28 ( 1 小 时 前 ) 
图 7.77 登录 详情 


间 戳 (Date: ) 是 根据 发 件 人 计算 机 上 的 系统 时 钟 确定 的 该 电子 邮件 的 发 送 结束 时 间 , 而 非 
发 送 开始 动作 时 间 。 例 如 发 送 客户 端 系 统 的 系统 时 间 与 中 国 地 区 标准 时 间 误 差 为 十 5 秒 ， 
但 是 邮件 客户 端 发 送 邮 件 时 耗费 了 2 秒 时 间 才 发 送出 去 。 此 时 的 误差 就 为 十 3 秒 。 

转发 服务 器 (例如 163 和 263 的 服务 器 ) 时 间 与 中 国 地 区 标准 时 间 一 般 无 误差 ,因为 其 
服务 器 有 专人 维护 ,其 时 间 是 极 难 伪造 的 。 


7.7.6 小 结 


本 节 从 原理 和 实践 方面 阐述 了 电子 邮件 的 传输 机 制 和 分 析 方 法 。 事 实 上 ,电子 邮件 的 
分 析 就 是 回溯 电子 邮件 的 传输 过 程 ,获取 隐 含 在 电子 邮件 中 的 数据 。 电 子 邮 件 的 分 析 主 要 
应 用 于 涉及 计算 机 网 络 的 诈骗 ` 恶 吓 、 经 济 犯 罪 等 犯罪 活动 中 。 在 实践 中 ,电子 邮件 作为 证 
据 已 经 被 检 法 部 门 采信 。 


7.8 数据 库 分 析 技 术 


随 着 大 数据 时 代 的 到 来 ,社会 生活 的 数据 纷纷 采取 数据 库 形式 存储 ,其 中 保存 了 众多 敏 
感 数据 。 数 据 库 已 经 成 为 网 络 犯罪 的 重要 目标 ,这 使 得 数据 库 分 析 匀 成 为 网 络 犯罪 侦查 的 
新 的 方向 。 本 节 以 Access 和 MS SQL Server 这 两 种 使 用 广泛 的 数据 库 为 例 , 重 点 讲解 数 
据 库 的 运行 机 制 ,学 习 掌握 数据 库 的 分 析 方 法 。 


7.8.1 数据 库 类 型 


1. 数据 库 的 分 类 
根据 数据 库 的 处 理 能 力 和 运行 环境 不 同 , 可 以 将 数据 库 分 为 单机 数据 库 和 网 络 数 
据 库 。 


外 刘 浩 阳 , 李 锦 , 刘 晓 宇 ,等 . 电子 数据 取证 .北京 : 清华 大 学 出 版 社 ,2015 
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1) 单机 数据 库 

单机 数据 库 运 行 在 本 地 ,为 本 地 的 应 用 提供 接口 。 例 如 Access、FoxPro, 对 于 单机 数据 
库 的 分 析 , 只 需要 对 数据 库 和 运行 的 操作 系统 进行 分 析 即 可 。 

2) 网 络 数据 库 

网 络 数据 库 指 运行 在 网 络 上 ,提供 网 络 访问 服务 的 数据 库 系 统 , 一 般 使 用 单独 的 服务 器 
来 运行 ,例如 MS SQL Server .Oracle.SyBase。 这 类 数据 库 数据 量 大 ,网 络 拓扑 复杂 ,分 析 
较为 困难 。 

还 有 一 些 数 据 库 ,本 身 结构 简单 ,但 是 运行 效率 较 高 , 既 可 以 运行 在 单机 上 ,又 可 以 运行 
在 网 络 上 ,例如 MySQL、SQLite、PostgreSQL 数据 库 。 

传统 的 数据 库 大 多 为 关系 型 数据 库 。NoSQL(Not Only SQL) 非 关系 型 数据 库 , 意 即 
“不 仅仅 是 SQL”, 作 为 一 项 全 新 的 数据 库 ,近年 来 发 展 迅 速 。NoSQL 数据 存储 不 需要 固定 
的 表 结 构 , 通 常 也 不 存在 连接 操作 。 在 大 数据 存 取 上 具备 关系 型 数据 库 无 法 比拟 的 性 能 优 
势 。NoSQL 数据 库 主 要 有 Membase、MongoDB、Hypertable、Redis、Memcached。 

2. 常见 的 数据 库 

常见 的 数据 库 如 下 : 

1) Access 

Access 是 由 微软 发 布 的 关系 型 数据 库 , 它 包含 在 Microsoft Office 套件 中 。Access 简 
单 易 用 ,部 署 简单 。 它 的 缺点 是 无 法 处 理 大 量 数据 ,安全 性 也 很 低 。 

2) Microsoft SQL Server 

Microsoft SQL Server 是 微软 面向 企业 级 应 用 开发 的 关系 型 数据 库 。 它 的 数据 管理 效 
率 高 ,能 够 支持 所 有 Windows 系统 ,是 目前 中 小 型 网 站 主要 使 用 的 数据 库 。SQL Server 主 
要 的 版 本 有 SQL Server 2000/2005/2008/2012/2014。 

3) MySQL 

Oracle 的 MySQL 是 开源 的 关系 型 数据 库 , 小 巧 但 性 能 强大 。 它 搭配 PHP 和 Apache 
可 组 成 良好 的 开发 环境 。MySQL 也 是 中 小 型 网 站 主要 使 用 的 数据 库 。 

4) Oracle 

Oracle 又 名 Oracle RDBMS。 是 甲骨 文 (Oracle) 公 司 的 一 款 关系 型 数据 库 管理 系统 。 
Oracle 采用 的 是 并 行 服务 器 模式 ,是 大 型 网 站 的 数据 库 首选 ,在 效率 、 安 全 性 和 大 数据 支持 
方面 具备 优势 。 

5) SQLite 

SQLite 是 轻 量 的 关系 型 数据 库 。SQLite 可 以 在 一 个 文件 中 存储 数据 信息 ,可 以 做 到 
跨 平台 使 用 ,是 目前 移动 设备 使 用 较 多 的 数据 库 。 

6) PostgreSQL 

PostgreSQL 是 世界 上 可 以 获得 的 功能 最 全 面 的 开放 源码 的 关系 型 数据 库 , 它 提供 了 多 
版 本 并 发 控制 ,支持 多 种 开发 语言 (包括 C、C++ 、Java、Perl、Tcl 和 了 Python) 。 
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7.8.2 数据 库 犯 罪 现状 


无 论 是 利用 数据 库 进 行 犯罪 活动 ,还 是 以 数据 库 为 犯罪 目标 ,数据 库 一 直 是 网 络 犯罪 的 
焦点 。 近 年 来 ,公民 隐私 信息 被 泄露 的 案件 逐年 增长 ,2014 年 4 月 ,我 国 19 个 省 份 的 社保 
系统 相关 信息 被 泄露 5279. 4 万 条 ,其 中 包括 个 人 身份 证 .社保 参 保 信息 、 财 务 .薪酬 、 房 产 等 
敏感 信息 ; 2014 年 年 底 , 铁 道 部 官方 网 站 (12306. cn) 的 13 万 用 户 信息 泄露 ,包括 身份 证 、 登 
录 口 令 等 。 网 络 黑 产 集团 利用 泄露 的 个 人 姓名 、 手 机 号 码 、 身 份 证 号 码 和 银行 卡号 这 直接 关 
系 账户 安全 的 4 个 信息 进行 犯罪 活动 。 这 些 信息 大 多 会 被 出 售 给 黑市 中 的 诈骗 团伙 和 营销 
团伙 ,用 来 进行 诈骗 和 恶意 营销 。 例 如 近年 来 时 常 发 生 的 网 购 退 款 诈骗 ,网 购 机 票 退 款 诈 
骗 等 。 

数据 库 犯 罪 的 主要 构成 有 : 

。 黑客 通过 入 侵 有 价值 的 网 络 站 点 , 咨 走 用 户 数据 库 , 这 个 过 程 在 地 下 产业 术语 里 被 

。 在 取得 大 量 的 用 户 数据 之 后 ,黑客 会 通过 一 系列 的 技术 清洗 数据 ,并 在 黑市 上 将 有 

价值 的 用 户 数 据 变现 交易 ,通常 被 称 作 “ 洗 库 ”。 

。 最 后 黑客 将 得 到 的 数据 在 其 他 网 站 上 进行 尝试 登录 , 叫 作 “ 撞 库 ”。 因 为 很 多 用 户 喜 

欢 使 用 统一 的 用 户 名 密码 ,“ 撞 库 ” 也 可 以 使 黑客 获得 用 户 在 多 个 平台 的 账号 密码 。 

。 黑 产 人 员 还 会 把 多 个 不 同类 型 的 数据 库 整 合成 “社工 库 ”。 大 量 网 络 用 户 的 隐私 信 

息 、 上 网 行为 以 及 与 个 人 金融 财产 安全 相关 的 数据 被 重新 整合 ,多 维度 的 海量 信息 
让 有 强 针对 性 的 精准 式 诈骗 场景 频 现 。 


7.8.3 数据 库 分 析 概 述 


1. 数据 库 分 析 的 层次 

数据 库 分 析 按 照 先 易 后 难 的 标准 ,可 以 分 为 以 下 四 个 层次 : 

层次 一 ,在 线 分 析 。 获 取 系统 控 制 权限 , 针 对 运行 中 的 服务 器 ,获取 数据 库 数据 文件 、 服 
务 器 和 系统 的 日 志 、trace 记录 等 信息 。 

层次 二 ,离线 分 析 。 能 够 熟练 地 导入 导出 数据 , 重 构 数 据 库 运行 环境 。 例 如 某 些 财务 软 
件 , 通 过 重 构 数 据 库 ,可 以 利用 软件 的 前 端 应 用 程序 ,以 图 形 化 的 方式 呈现 数据 。 

层次 三 ,使 用 结构 化 查询 语句 对 数据 库 中 的 数据 进行 挖掘 。 如 果 数 据 量 很 大 ,就 需要 熟 
练 掌握 数据 挖掘 技术 ,例如 分 析 一 个 城市 某 个 时 间 的 全 部 话 单 , 利 用 数据 库 查 询 比 使 用 图 形 
化 的 关联 分 析 工 具 效率 要 高 得 多 。 

层次 四 ,恢复 数据 库 的 删除 数据 或 者 日 志 , 对 其 进行 分 析 , 这 在 黑客 人 侵 案 件 中 尤为 有 

。 数 据 库 作 为 高 价值 目标 :已 经 成 为 黑客 攻击 目标 的 首选 ,黑客 人 侵 并 复制 走 数据 ( 拖 库 ) 
,往往 会 通过 删除 数据 库 日 志 来 清除 入 侵 痕迹 。 


迅 漂 
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2. 企业 级 数据 库 的 分 析 对 象 

在 普通 用 户 眼中 ,大 部 分 的 数据 库 都 是 类 似 的 ,不 管 是 桌面 级 数据 库 还 是 企业 级 数据 
库 , 都 是 由 一 个 表 或 者 多 个 表 构 成 的 ,具备 查询 功能 的 数据 组 合 。 但 是 在 网 络 犯罪 侦查 人 员 
眼中 ,数据库 分 析 不 仅 关心 数据 库 中 保存 的 数据 ,更 关注 数据 库 的 审计 信息 、 日 志 信 息 等 动 
态 信息 ,需要 通过 完整 的 证 据 链 证 明 发 生 了 什么 。 在 这 一 点 上 ,企业 级 数据 库 一 般 具备 着 完 
善 的 账户 审计 和 日 志 功 能 。 在 遭 到 入 侵 之 后 ,可 以 提供 更 多 的 信息 以 追溯 入 侵 者 的 痕迹 。 
但 是 往往 这 些 数 据 处 于 动态 之 中 , 侦查 人 员 在 数据 库 的 操作 上 又 不 具备 丰富 的 经 验 。 因 此 
侦查 人 员 在 进行 分 析 之 前 ,应 当 首 先 确认 分 析 目 标 。 目 标 不 仅 限于 数据 库 本 身 , 作 为 载体 的 
操作 系统 往往 也 能 提供 重要 信息 。 数 据 的 分 析 对 象 如 表 7. 19 所 示 。 


表 7.19 数据 库 分 析 目 标 


分 析 目 标 说 朋 
数据 库 基 本 信息 看 括 数据 库 的 闫 型 \ 版 本 存储 位 置 和 
易 失 性 数据 包括 操作 系统 、 数 据 库 \ 内 存 和 文件 组 存 中 的 信息 
事物 眼 踪 记录 数据 库 审计 机 制 下 跟踪 信息 的 所 有 记录 
数据 库 日 志文 件 记录 数据 库 的 操作 信息 ,可 以 实现 数据 的 恢复 或 者 事务 的 同 深 
数据 库 错误 日 志 记录 数据 库 的 错误 信息 ,例如 数据 库 重启 恢复 错误 记录 
操作 系统 日 志 操作 系统 本 身 的 审计 日 志 , 例 如 安全 日 志 . 应 用 程序 日 志 等 
数据 库 控制 信息 (Oracle) | 包含 维护 和 控制 数据 库 一 致 性 的 信息 
数据 库 数据 文件 记录 所 有 数据 ,例如 表 . 农 引 
数据 库 临 时 表 记录 临时 数据 \ 临 时 存储 过 程 和 操作 
”| 架设 在 数据 库 服务 器 前 的 防火 墙 或 人 侵 检测 系统 CIDS) 是 保护 数据 库 的 
咏 火 增 或 入 侵 检测 系统 日 志 | 第 一 道 屏障 ,如 果 有 人 入 侵 行为 发 生 , 防 火 墙 或 IDS 日 志 会 保存 有 相关 记录 


3. 数据 库 分 析 的 准备 工作 


1) 工具 准备 


数据 库 分 析 在 遵守 分 析 规 范 和 流程 同时 ,也 应 当 针 对 自身 数据 动态 性 和 操作 复杂 性 的 
特点 ,有 针对 性 地 准备 相应 的 工具 。 目 前 ,并 没有 专用 的 数据 库 分 析 工 具 。 因 此 ,目前 的 数 


据 库 分 析 仍 然 依靠 个 人 分 析 与 工具 的 结合 使 用 。 除 了 分 析 工 具 , 利 用 数据 库 本 身 的 命令 和 
第 三 方 管理 工具 ,一 样 能 达到 获取 线索 .固定 证 据 的 目的 。 数 据 库 分 析 一 般 需 要 准备 以 下 设 
备 或 工具 : 
。 HASH 值 计 算 工 具 ; 
。 数 据 库 管理 和 维护 工具 , 例如 SQLDiag、PSSDIAG/SQLDiag Manager、 
SqlNexus 等 ; 
。 一 台 运 行 相同 数据 库 版 本 的 计算 机 设备 ,用 于 重 构 数据 库 环境 ,恢复 数据 库 。 可 利 
用 SQL Server Management Studio 工具 或 者 ApexSQL Log 工具 分 析 数 据 库 数据 ， 
也 可 以 利用 Fn-dblog .DBCC 等 功能 分 析 配 置信 息 。 
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2) 分 析 策 略 

桌面 级 数据 库 一 般 采 取 关 机 复制 镜像 ,然后 对 镜像 进行 分 析 的 策略 。 这 种 方式 可 以 确 
保 桌 面 级 数据 库 的 元 数据 不 会 被 算 改 。 

企业 级 数据 库 一 般 安装 在 服务 器 上 ,基本 上 要 求 7X24 小 时 运行 ,无 法 通过 关机 复制 硬 
盘 的 策略 进行 分 析 。 同 时 入 侵 痕 迹 很 有 可 能 在 内 存 中 保留 ,因此 关机 进行 检查 是 不 明智 的 。 
如 果 和 侵 活 动 正在 运行 毁灭 证 据 等 不 可 逆 的 操作 ,应 当 迅 速 切断 网 络 连接 ,使 服务 器 处 于 离 
线 状态 ,同时 停止 服务 器 上 的 入 侵 者 运行 的 破坏 性 的 程序 进程 。 

需要 注意 的 是 ,侦查 人 员 不 能 重新 启动 数据 库 , 防 止 数 据 库 为 了 实现 日 志和 数据 的 一 致 
性 ,自动 按照 活动 事务 日 志 回 滚 ,会 导致 操作 记录 丢失 。 


7.8.4 数据 库 的 人 在 线 分 析 


企业 级 数据 库 的 专业 化 程度 较 高 ,操作 复杂 。 一 般 的 网 络 犯罪 侦查 人 员 并 不 熟悉 数据 
库 的 操作 。 在 企业 级 数据 库 的 分 析 中 ,建议 采用 以 下 步骤 (以 Microsoft SQL Server 2008 
R2 为 例 ) 。 

1. 确定 分 析 目 标的 状态 

1) 确定 数据 库 的 状态 

包括 系统 是 否 还 能 够 正常 运行 .能 否 使 用 原先 的 口令 登录 、 数 据 库 运 行 是 否 正常 .是 否 
修改 了 配置 等 。 

(1) 确定 服务 器 类 型 。 

可 以 使 用 netstat-an 命令 或 者 端口 扫描 工具 通过 数据 库 的 端口 信息 判断 安装 的 数据 库 
类 型 ,如 表 7. 20 所 示 。 


表 7.20 数据 库 的 端口 


数据 库 端口 号 (默认 ) 
Oracle 1521 
Microsoft SQL Server 1433 
MySQL 3306 
DB2 5000 


需要 注意 的 是 , 某 些 管理 员 会 更 改 数 据 库 的 默认 端口 。 

Microsoft SQL Server 是 Winsock 应 用 程序 . 它 使 用 Winsock 库 通 过 TCP/IP 进行 通 
信 。Microsoft SQL Server 一 旦 启动 就 在 特定 端口 上 监听 链接 请 求 。Microsoft SQL 
Server 的 默认 端口 是 1433( 可 修改 )。 因 此 ,可 以 通过 远程 扫描 开启 1433 端口 确定 是 否 安 
装 有 SQL Server。 

(2) 确定 配置 是 否 正常 。 

Microsoft SQL Server 入 侵 的 典型 特点 是 往往 需要 开启 xp _cmdshell 组 件 。 在 
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Microsoft SQL Server 2005 之 后 xp_cmdshell 组 件 默认 是 关闭 的 。Windows 系统 允许 使 用 
xp_cmdshell 组 件 运行 SQL 查询 语句 。xp_cmdshell 组 件 被 开启 后 ,入 侵 者 可 以 利用 此 命 
令 运 行 SQL 语句 。 查 看 xp_cmdshell 组 件 是 否 被 开启 是 判断 数据 库 是 否 被 人 侵 的 一 个 重 
要 标志 。xp_cmdshell 组 件 是 否 被 开启 可 以 用 以 下 命令 查看 (如 图 7.78 所 示 )。 


Select * from sys.configurations 


64 16387 SMOandDMOXPs 1 0 1 1 Enable or disable SMO and DMO X. 
65 16388 Ole AutomationPo 0 0 1 0 Enable or disable Ole Atomation P 
66 16390 wp_cmdshel 0 0 1 10 | Enable ordsable command shel 
67 ”16391 AdHocDistibted. 0 0 1 0 Enable or disable Ad Hoc Distrbute 
68 16392 Rephcation Xps 0 0 1 0 Enable or disable Replcation XPs 


图 7.78 查询 xp_cmdshell 配置 项 


如 果 value_in_use 值 为 "1 代表 xp_cmdshell 组 件 被 开启 。 

2) 确定 系统 账户 和 数据 库 账户 的 状态 

包括 是 否 有 新 的 账户 被 加 入 , 现 有 账户 是 否 被 提高 权限 。 注 意 要 配合 跟踪 系统 日 志和 
数据 库 日 志 确 定 账户 被 加 入 或 者 提 权 的 时 间 。 通 过 以 下 语句 查看 数据 库 账户 的 建立 和 修改 
情况 (如 图 7.79 所 示 )。 


Select * from sys.database_principals where type = 'S'or type = 'U'order by create_date, modify__ 
date 


按照 账户 建立 日 期 和 修改 日 期 列 出 系统 中 属性 为 SQL 用 户 ( 'S ') 和 Windows 用 户 
( 'U '), 在 Microsoft SQL Server 2005 之 前 ,只 存储 日 期 ,没有 时 间 , 在 Microsoft SQL 
Server 2008 之 后 ,存储 日 期 时 间 , 自 动 格式 化 为 北京 标准 时 间 。 


mme pmcpa i type typedesc ~ deta schema name create_date modfy_date 


1 5 SQLUSER do 20030408 09:10:19.600 20030408 09:10:19.600 
2 5 SQL_USER gues 200304108 09:10:19.647 200304108 09:10:19.647 
3 5 SQ UsER NUL 2008-07-09 16:19:59.477 2008-07-09 16:19:59.477 
4 5 ”SQLUSER NULL 2008-07-09 16:19:59.477 2008-07-09 16:19:59.477 
5 U WHNDOW_ MACBOOKPROOA4_ 20140328 16:08:27153 201403:28 16:08:27153 
6 S SQL USER dbo 20140330 14.54:14410 201403.30 14:54:14410 


图 7.79 查询 数据 库 账 户 


3) 确定 关键 数据 库 和 表 

关键 数据 库 指 的 是 用 于 存储 服务 信息 的 用 户 数据 库 , 而 不 是 系统 数据 库 。 关 键 的 表 是 
数据 库 中 存储 重要 信息 的 表 , 可 能 会 包含 配置 信息 、 用 户 账户 和 重要 数据 。 通 过 查看 关键 数 
据 库 或 者 表 , 可 以 确定 数据 库 的 数据 是 否 被 删除 或 者 自 改 。 


从 直观 的 角度 出 发 .可 以 观察 到 Microsoft SQL Server 由 若干 数据 库 构 成 ,如 表 7. 21 
所 示 。 
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表 7.21 Microsoft SQL Server 数据 库 结 构 
数据 库 类 别 | 数据 库 名 称 数据 库 描述 


master 数据 库 记 录 SQL Server 系统 的 所 有 系统 级 信息 。 主 要 包括 实例 范 
master 围 的 元 数据 .端点 ,链接 服务 器 和 系统 配置 设置 以 及 记录 了 所 有 其 他 数据 库 
的 存在 ,数据库 文件 的 位 置 以 及 SQL Server 的 初始 化 信息 


系统 数据 库 model 提供 了 SQL Server 实例 上 创建 的 所 有 数据 库 的 模板 


msdb 主要 由 SQL Server 代理 用 于 计划 警报 和 作业 


tempdb 系统 数据 库 是 一 个 全 局 资源 ,可 供 连 接 到 SQL Server 实例 的 所 有 用 
tempdb 户 使 用 ,并 可 用 于 保存 显 式 创建 的 临时 用 户 对 象 .SQL Server 数据 库 引 擎 创 
建 的 内 部 对 象 .版 本 数据 等 


用 户 数据 库 | dbl/db2 | 用 户 自行 定义 ,一 般 是 分 析 的 重点 


可 以 通过 以 下 命令 确定 表 结 构 ( 如 图 7. 80 所 示 ) 。 


USE 数据 库 名 

go 

sp_tablecolations 表 名 
go 


cold name tds_colation colation 
[2 |Name 。 0x0408D00000 Chinese_PRC_CI_AS 
CardNo 。 0x0408D00000 2 Chinese_PRC_CI_AS 
Descriot 0x0408D00000 Chinese_PRC_CI_AS 
Qfp ~ x0408D00000 Chinese_PRC_CI_AS 
Qfld x0408D00000 Chinese_PRC_CI_AS 
Gender 。 0x0408D00000 ~ Chinese_PRC_CI_AS 
Bithday (x0408D00000 Chinese_PRC_CI_AS 
Address 。 0x0408D00000 Chinese_PRC_CILAS 
Zp (x0408D00000 Chinese_PRC_CI_AS 
Drty (x0408D00000 Chinese_PRC_CI_AS 


WOM ON 一 


ee 
己 
= 


图 7.80 查询 表 结 构 


查询 表 内 容 如 图 7. 81 所 示 。 


USE 数据 库 名 
ey top 100* from 表 名 
go 
2. 获取 数据 库 基 本 信息 
不 同 厂家 数据 库 的 操作 方法 不 同 , 即 使 是 同一 厂家 的 数据 库 , 不 同 版 本 的 操作 方法 也 有 
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Na Qfid Gender Bithday Address zp 
1 OTH 010-116321 M 19000101 ”北京 市 海 注 区 苏州 街 .。 ”100080 
Basl 更 - GID ”0282 M 19000101 ”河北 省 石家庄 栾 城 县 城 .， 051430 
al 李 - OTH ”010.125321 F 19000101 ”北京 市 海淀 区 蔓 谤 厂 南 .， 100097 
dl 张 - OTH 010-130321 F 19000101 ”北京 市 三 环 东 路 1 号 北 .。 100029 
El 窗 -- OTH 010142321 F 19000101 ”北京 市 丰台 区 定安 东 里 .…。 100007 
6 杨 .. OTH 010-186321 F 19000101 ”北京 市 朝阳 区 大 屯 路 风 .， 100101 
al 二 OTH 021:044321 M 19000101 “上海 金 桥 出 口 加 工区 云 … 201206 
8 赵 - OTH ”021-127321 M 19000101 ”上 海 市 虹口 区 银 欣 路 38..。 200008 
9 朱 .- OTH 021-151321 F 19000101 ”上海 莘庄 光华 路 968 呈 201108 
10 孵 - OTH 021-166321 F 19000101 “上海 市 徐汇 区 虹桥 路 80.。 200030 
11。 孙 - OTH 021215321 M 19000101 ”上 海 市 浦东 新 区 张江 中 ..。 201210 
al 王 -= OTH 021224321 F 19000101 “上海 市 嘉定 区 封 泊 宝 园 .， 201812 


图 7.81 查询 表 内 容 


区 别 。 通 常 , 一 个 操作 系统 中 只 有 一 个 数据 库 , 但 是 也 会 有 多 个 数据 库 共存 于 一 个 系统 之 
中 。 侦 查 人 员 应 当 了 解 目 标 系统 中 数据 库 的 基本 信息 ,包括 类 别 \ 版 本 、 文 件 目 录 等 信息 。 
1) 查询 版 本 
Microsoft SQL Server 数据 库 版 本 的 查询 方法 是 : 在 查询 界面 中 运行 “select @ @ 
VERSION”( 适 用 于 Microsoft SQL Server 6.5 以 上 版 本 ) ,如 图 7.82 所 示 。 


select 6886VERSION 


国 结果 | 国 消息 


图 7.82 查询 数据 库 版 本 


获取 的 信息 为 "Microsoft SQL Server 2008 R2 (RTM)-10. 50. 1600. 1 (Intel X86) 
Apr 2 2010 15:53:02 Copyright (c) Microsoft Corporation “Enterprise Edition on 
Windows NT 6.1 二 X86 二 (Build 7601: Service Pack 1) (Hypervisor)”, 其 中 不 但 有 数据 
库 的 信息 ,还 包括 操作 系统 的 信息 。 

Oracle 数据 库 版 本 的 查询 方法 : 用 客户 端 连接 到 数据 库 , 执行 select * from v 
$instancs ,查看 version 项 。 

2) 查看 数据 库 文件 的 保存 位 置 

Microsoft SQL Server 查看 数据 库 文件 的 保存 位 置 方法 (如 图 7. 83 所 示 ) : 


sp_helpdb 数据 库 名 
例如 ,sp _helpdb rujia, sp _helpdb 是 数据 库 引 擎 存储 过 程 (Database Engine Stored 
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name 中 size owner dd created atus compatiblty_level 
1 [dwatest 281 MB MACBOOKPROOAMAE\MACBOOK 10 04142014 Siatus-ONLINE. Updateablty-READ_WRITE Userhcc 100 


fled lerame flegop sae msze gouh usage 


name 
1 | dhwatest 1 CprogamFies\Mcrosofi SQL ServerWSSQLIOMSS PRIMARY 2304KB Unimied 1024KB dataonly 
2 dwates log 2 CAProgram Fies\Wcrosch SQL Server MSSQLIOMSS .NULL 576 KB 2147483648KB 10% log ony 


图 7.83 查询 数据 文件 保存 位 置 


Procedures) 的 语句 。 

3. 获取 易 失 性 的 数据 

数据 库 分 析 时 ,数据 库 所 在 操作 系统 往往 处 于 运行 状态 ,其 内 存 中 保存 了 大 量 系统 和 数 
据 库 的 缓存 信息 。 0 
数据 库 的 缓存 数据 。 数 据 库 的 缓存 信息 有 两 种 : 一 种 为 数据 库 直 接管 理 的 内 存 区 域 ,这 个 
区 域 可 以 通过 数据 库 管理 命令 来 进行 分 析 或 提取 ; 另 一 he 
供 的 缓冲 ,这 种 信息 较 难 提取 ,可 以 利用 内 存 分 析 工 具 来 获取 分 析 。 例 如 可 以 通过 数据 库 进 
程 ID 来 获取 数据 库 在 内 存 中 的 运行 空间 。 

在 Microsoft SQL Server 中 ,Plan Cache 对 象 提供 用 于 监视 SQL Server 如 何 使 用 内 存 
来 存储 对 象 (例如 存储 过 程 、Transact-SQL 语句 以 及 触发 器 ) 的 计数 器 。 可 同时 监视 Plan 
Cache 对 象 的 多 个 实例 ,每 个 实例 代表 一 个 要 监视 的 不 同类 型 的 计划 。 通 过 跟踪 Plan 
Cache 数据 ,可 以 获取 内 存 中 的 数据 。 

查看 Plan Cache 数据 的 SQL 语句 脚本 如 下 ,结果 如 图 7. 84 所 示 。 


USE Master 

GO 

SELECT 

UseCounts, RefCounts,CacheObjtype, ObjType, DB_NAME(dbid) as DatabaseName, SQL 
FROM syscacheobjects 

ORDER BY dbid, usecounts DESC., objtype 

GO 


4. 跟踪 记录 

通常 Microsoft SQL Server 实例 安装 后 会 开启 一 个 默认 跟踪 (Default Trace) ,这 个 跟 
踪 会 记录 级 别 较 高 的 重要 信息 。 跟 踪 (trace) 记 录 保 存 了 数据 库 的 各 类 操作 信息 ,以 便 用 户 
能 根据 文件 内 容 解 决 各 种 故障 。 跟 踪 记 录 的 存在 与 用 户 是 否 设 置 跟踪 策略 有 关 。 侦 查 人 员 
可 以 通过 对 跟踪 记录 的 分 析 来 发 现 信息 。 例 如 ,侦查 人 员 可 以 通过 跟踪 记录 的 SPID、 
Transaction ID 等 信息 ,找到 进行 可 疑 动作 的 用 户 , 并 跟踪 这 个 用 户 所 做 的 所 有 操作 来 发 现 
算 改 和 删除 行为 。SQL Server Profile 是 跟踪 记录 的 图 形 化 工具 。 跟 踪 记 录 保 存在 
Microsoft SQL Server 安装 目录 的 log 目录 下 (例如 C:\Program Files\Microsoft SQL 
Server\MSSQL10. MSSQLSERVER\MSSQL\Log) ,以 log_## .trc 的 文件 形式 存在 。 

使 用 以 下 代码 可 以 确认 trace 是 否 被 开启 ,结果 如 图 7. 85 所 示 。 
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UseCounts RefCounts CacheObjype Objlype DatabaseName SQL 
243 2 1 Parse Tree Vew NULL CREATE VIEW sys schemas AS SELECT sname, schema 
244 2 1 Parse Tree Vew NULL CREATE VIEW sys schemas AS SELECT sname.schema 
245 2 1 Parse Tree Vew NULL CREATE VIEW sys schemas AS SELECT sname,schema 
246 2 1 Parse Tree Vew NULL CREATE VIEW sys schemas AS SELECT sname, schema 
247 2 1 Parse Tree Vew NULL CREATE VIEW sys schemas AS SELECT sname,schema 
248 2 1 Parse Tree Vew NULL CREATE VIEW sys schemas AS SELECT sname, schema. 
29 2 1 Parse Tree Vew NULL CREATE VIEW sys credentials AS SELECT cojd AScre.. 
250 2 1 ParseTree ~ Vew NULL create function sysfn_helpcolations ( ) retumstable as 
251 2 1 Parse Tree Vew NULL Create function sys fn_helpcoliations ( ) retumstable as 
252 2 1 Parse Tree Vew NULL CREATE VIEW sys server_sql_modules AS SELECT objec... 
253 2 1 Pane Tee Vew NULL CREATE VIEW sysjdertiy_columns AS SELECT object_jd.. 
254 2 1 Pane Tee ~ Vew NULL CREATE VIEW sys dm_exec_connections AS SELECT . 
255 2 1 Pare Tree ~ Vew NULL CREATE FUNCTION sys dm_exec_sql_texdt(@hande varbin 
256 1 1 EdendedPr. Proc NULL wD_fleest 
257 1 1 EdendedPr.. Proc NULL 区 -sqagert_monior 

图 7.84 查询 Plan Cache 数据 


Select * from sys.configurations where name like '% trace%' 


vee minmum maimum vale_in_use description 
0 1 1 


图 7.85 查询 trace 状态 


5. 获取 数据 库 数 据 文件 

数据 库 的 数据 文件 是 保存 数据 的 主要 载体 ,也 是 侦查 分 析 工 作 的 主要 目标 。 应 当 对 数 
据 库 的 数据 文件 及 其 关联 文件 (例如 日 志 ) 进 行 符合 司法 要 求 的 获取 。 如 果 数 据 库 无 法 离 
线 ,需要 始终 处 于 联机 状态 ,应 当 使 用 备份 功能 ,将 数据 库 数据 保存 为 备份 文件 (Microsoft 
SQL Server 为 . bak 文件 ) ,但 是 即使 采用 “完整 备份 ”模式 ,也 仅 备 份 数 据 库 本 身 ,而 不 会 备 
份 日 志 (仅仅 备份 少量 日 志 用 于 同步 ); 如 果 数 据 库 处 于 离线 状态 ,建议 对 整个 硬盘 空间 进 
行 物理 镜像 。 无 论 哪 种 方式 获取 ,都 需要 对 获取 的 文件 或 镜像 计算 哈 希 校 验 值 (MD5 或 者 


SHA-l 等 )。 


is_dyna.. is_advanced 


Enable or dsable the defauttrace 1 1 


数据 文件 不 允许 直接 在 源 服务 器 上 进行 分 析 , 因 为 这 样 可 能 会 导致 数据 被 算 改 。 在 获 
取 数 据 文件 后 ,应 当 重 构 数 据 库 环 境 。 在 新 的 数据 库 环境 中 还 原 数据 库 , 青 进行 分 析 。 


数据 库 备 份 脚本 如 下 : 


go 
USE master 
go 


BACKUP DATABASE dlwatest 
TO DISK= 'd:\dlwatest. bak' 


WITH init 
go 
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6. 获取 数据 库 日 志和 操作 系统 日 志 
数据 库 日 志 包 括 事务 日 志 、 错 误 日 志 、 代 理 日 志和 控制 日 志 ; 操作 系统 日 志 包 括 应 用 程 
序 日 志 、 安 全 日 志 、 系 统 日 志 、IIS 日 志 , 如 表 7. 22 所 示 , 对 日 志 进行 分 析 , 定 位 可 疑 行 为 。 


表 7.22 数据 库 日 志 


名 称 保存 路 径 文 件 名 
事务 日 志 Program Files\ Microsoft SQL Server\ MSSQL10_50. a 
实例 名 \MSSQL\Data 
错误 日 志 Program Files\ Microsoft SQL Server\ MSSQL10_50. 
ERRORLOG. # (# 为 数字 ) 
实例 名 \MSSQL\LOG 
代理 日 志 Program Files\ Microsoft SQL Server\ MSSQL10_50. 
SQLAGENT.# 
实例 名 \MSSQL\LOG 
系统 日 志 WSYSTEMROOT%\Windows\system32\config\ SysEvent. Evt 
应 用 程序 日 志 | %SYSTEMROOT%\Windows\system32\config\ AppEvent. Evt 
安全 上 日志 WSYSTEMROOT%\Windows\system32\config\ SecEvent. Evt 
JIS 日 志 %SYSTEMROOT%\system32\logfiles\ ex 十 年 末 两 位 十 月 十 日 . log 


1) 获取 事务 日 志 

需要 注意 的 是 ,企业 级 数据 库 系统 出 于 性 能 上 的 考虑 ,会 将 用 户 的 改动 存 人 缓存 中 ,又 
根据 先 写 日 志 原 则 (Write Ahead Log) ,这 些 改变 会 立即 写 和 事务 日 志 , 但 不 会 立即 写 和 人数 
据 文件 。 直 到 数据 库 的 检查 点 发 生 , 才 会 将 已 提交 完成 的 事务 所 修改 的 数据 从 缓存 中 写 和 人 
数据 文件 。 所 以 侦查 人 员 对 活动 事务 日 志 进 行 在 线 联机 收集 和 分 析 , 需 要 注意 这 些 已 经 发 
生 但 仍 未 作用 到 数据 库 硬盘 实际 数据 上 的 修改 操作 ,以 获取 更 多 的 线索 和 证 据 信 息 。 

需要 注意 的 是 ,为 了 获取 日 志 trace 文件 而 将 数据 库 “ 断 开 连 接 ”、 备 份 数据 库 、 日 志 等 
行为 会 导致 事务 日 志 截 断 ,造成 之 前 的 事务 日 志 灭 失 。 

查看 事务 日 志 脚 本 如 下 ,结果 如 图 7. 86 所 示 。 


dbcc log( dlwatest) 


但 是 在 大 容量 日 志 恢 复 模式 下 ,删除 动作 可 能 不 会 被 记录 。 同 时 在 数据 库 关闭 后 ,事务 
日 志 会 被 修改 ,有 可 能 导致 删除 记录 丢失 。 因 此 ,需要 在 数据 库 在 线 状 态 下 备份 日 志 。 
日 志 备份 脚本 如 下 : 


go 
USE master 
go 


BACKUP LOG dlwatest 
TO DISK = 'd:\dlwatest. bck' 


WITH init 
go 
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Cument LSN Operation Conted Tansacion ID LogBlockGeneration 
126 00000019:00000049:0001 LOP_BEGIN_XACT LCX NULL 0000:00000298 0 
127 00000019:00000049:0002 LOP_LOCK_XACT LCX_NULL 0000:00000298 0 
128 00000019:00000049:0003 LOP_LOCK_XACT LCX_NULL 0000:00000298 0 
129 00000019:00000049:0004 LOP_MODIFY_ROW LCX_SCHEMA_VERSI... 0000:00000000 0 
130 00000019:00000049:0005 LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
131 00000019:00000049:0006 ”LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
132 00000019:00000049:0007 LOP_COUNT_DELTA LCX_CLUSTERED 0000:00000000 0 
133 00000019:00000049:0008 LOP_COUNT_DELTA LCX_CLUSTERED ‘0000:00000000 0 
134 00000019:00000049:0009 LOP_MODIFY_ROW LCX_IAN 0000:00000298 0 
135 00000019:00000049:000a LOP_MODIFY_ROW LCX_PFS ‘0000:00000298 0 
136 C00000013:00000049:000b LOP_MODIFY_ROW LCX_PFS 0000:00000298 0 
137 ”00000019:00000049-000c LOP_HOBT_DDL LCX_NULL 0000-00000298 0 
138 00000019:00000049:000d LOP_DELETE ROWS LCX_MARK_ AS GHOST 0000:00000298 0 
139 00000019:00000049:000e LOP_MODIFY HEADER LCX_PFS ‘0000:00000000 0 
-440 nnnnnnsa.nnnnnn nnn nN erT nrre Lev_nee. 一 annenonnnnn A 


图 7.86 查看 事务 日 志 


2) 获取 错误 日 志和 代理 日 志 

Microsoft SQL Server 的 错误 日 志文 件 Error. Log 记录 了 一 个 进程 成 功 完成 与 否 , 包 
括 备 份 和 还 原 操作 、 批 处 理 命令 或 其 他 脚本 和 进程 。Microsoft SQL Server 每 次 重新 启动 ， 
都 会 产生 一 个 新 的 错误 日 志 , 原 来 的 错误 日 志 备份 下 来 。Microsoft SQL Server 错误 日 志 
记录 为 ERRORLOG. #(# 为 数字 )。 错 误 日 志 默 认 保留 最 近 的 7 个 。 除 此 之 外 ,Microsoft 
SQL Server 还 有 代理 日 志 , 文 件 名 为 SQLAGENT. # (# 为 数字 )。 这 些 日 志 在 数 据 库 活 
动 状态 下 无 法 获取 ,需要 将 数据 库 停 掉 后 获取 。 

7. 分 析 数 据 库 临时 表 

TempDB 是 一 个 全 局 数据 库 , 存储 内 部 和 用 户 对 象 还 有 临时 数据 、 对 象 。Microsoft 
SQL Server 数据 库 系 统 的 临时 数据 库 是 其 TempDB 数据 库 , 在 一 个 Microsoft SQL Server 
数据 库 中 ,只 有 一 个 TempDB。Oracle 数据 库 系统 的 临时 数据 库 在 其 temp 表 空 间 中 。 系 
统 临时 数据 库 的 数据 保存 在 物理 硬盘 上 ,而 不 是 存放 在 内 存 中 ,不 过 这 是 暂时 的 ,不 是 永久 
存储 的 ,每 次 重新 启动 都 会 导致 以 前 数据 的 丢失 。 侦 查 人 员 可 以 通过 SQL 命令 联机 收集 和 
分 析 系 统 临 时 数据 库 中 数据 。 系 统 临时 数据 库 操作 的 事务 也 会 记录 在 日 志 中 ,但 临时 数据 
库 的 日 志 仅仅 记录 事务 回 滚 CUndo) 的 信息 ,而 不 记录 重 做 (Redo) 事 务 的 信息 。 

8. 数据 库 动 态 信息 分 析 

在 实践 中 , 可 以 利用 数据 库 管 理 和 维护 工具 进行 批量 获取 ,例如 SQL Server 
Management Studio、SQLDiag、SQLNexus、Log Explorer 等 。 对 于 日 志和 trace 记录 ,可 以 
利用 SQLDiag 工具 批量 获取 以 下 信息 。SQLDiag 是 微软 提供 的 一 款 用 于 获取 数据 库 动 态 
信息 的 工具 。 上 默认 情况 下 ,SQLDiag 工具 必须 以 Windows 管理 员 权 限 运 行 。 

SQLDiag 这 个 工具 可 以 收集 的 信息 有 : 

。 Windows 事件 日 志 。 
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。 SQL Server ErrorLog、SQL 配置 信息 以 及 一 些 重要 的 运行 信息 。 

。 SQL 曾经 产生 的 DUMP 文件 。 

。 服务 器 系统 配置 信息 。 

。 同时 包含 有 系统 和 SQL 性 能 计数 器 的 性 能 日 志 。 

。 服务 器 端 Trace。 

SQLDiag 工具 默认 安装 在 C:\Program Files\Microsoft SQL Server\100\Tools\Binn 
下 (MS SQL Server 2008 R2 ) 。 

可 以 使 用 另外 两 个 SQLDiag 自 带 的 XML 配置 文件 : SD_General. xml 和 SD 
Detailed. xml( 这 两 个 xml 文件 与 SQLDiag. exe 在 同一 目录 下 ) 进 行 配置 ,使 用 命令 
“SQLdiag. exe /I 一 configure_file> /0O 一 output_directory 二 ”将 结果 转 储 到 外 置 存储 中 。 

SQLDiag 必须 在 对 数据 库 进 行 修 改 操作 (例如 备份 数据 库 或 日 志 ) 之 前 运行 ,才能 获得 
数据 库 当 前 的 重要 信息 。 


7.8.5 数据 库 的 离线 分 析 


当 在 线 分 析 工 作 结束 后 ,数据库 相关 文件 (数据 文件 和 日 志 ) 被 保存 在 介质 中 ,处 于 离线 
非 运行 状 态 。 按 照 业界 普遍 认可 的 ACPO(Association of Chief Police Office 英国 警官 学 
会 ) 原 则 : 侦查 取证 人 员 不 能 采取 任何 可 能 会 改变 介质 中 数据 的 行为 。 因 此 不 能 直接 在 原 
始 数据 库 文件 上 进行 分 析 。 

数据 库 离 线 分 析 技 术 , 是 指 目标 数据 库 处 于 非 活 动 状态 ,通过 分 析 其 元 数据 (metadata) 
或 者 重 构 数 据 库 环境 ,来 分 析 数 据 库 内 容 的 技术 。 数 据 库 静 态 分 析 技术 主要 分 为 以 下 层次 ， 

(1) 对 于 直接 可 读 的 数据 库 , 例 如 Access、SQLite。 可 以 直接 分 析 其 属性 信息 或 者 查 
看 、 查 询 其 中 的 数据 。 

(2) 企业 级 数据 库 中 保存 的 数据 并 不 是 结构 化 数据 ,通过 分 析 工 具 实 现 可 视 。 对 于 企 
业 级 数据 库 的 分 析 需 要 重 构 数据 库 环境 , 方 可 通过 结构 化 查询 语言 对 其 内 容 进 行 查询 。 数 
据 库 重 构 是 侦查 取证 人 员 的 必 备 技能 ,一 般 来 说 ,数据 库 经 过 重 构 后 ,就 可 以 顺利 地 查询 
数据 。 

(3) 某 些 应 用 程序 ,例如 ERP(Enterprise Resource Planning ,企业 资源 计划 系统 )、 财 
务 软件 ,数据 的 存储 都 是 建立 在 企业 级 数据 库 上 的 ,对 这 些 软 件 的 分 析 , 不 但 需要 重 构 数据 
库 环 境 , 还 需要 重 构 软件 应 用 环境 。 这 种 层次 不 但 要 求 分 析 人 员 有 数据 库 相 关 知 识 , 对 于 应 
用 程序 的 架构 和 使 用 也 要 熟悉 。 

(4) 数据 库 的 信息 被 删除 、 需 要 恢复 。 这 种 情况 需要 根据 数据 库 的 特性 进行 人 工分 析 ， 
对 数据 库 元 文件 进行 数据 恢复 和 提取 。 

1. 桌面 级 数据 库 的 离线 分 析 

Access 是 桌面 级 数据 库 . 是 Microsoft Office 办 公 软 件 的 组 件 之 一 ,如 图 7. 87 所 示 。 
Access 2003 之 前 的 文件 的 后 级 名 为 . mdb. Access 2007 以 后 文件 的 后 级 名 变 为 . accdb。 
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国 日 0 有 0 - 2010) - Microsoft Access 
”和 @ 


到 和 到 S 赤 I 具 | 字 宫 表 


所 有 Access 对 条 CR 

届 ti ”| 掌 沿 以 玄 如 ~ 
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— 2 大 连 网 安 


Dom 3 \Vu0051Nu0051VufflaVu00S1Nu0031Vu0035Vu0034Vu00S3Vu00S9Nu0036 
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| 
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图 7.87 Access 2010 的 数据 库 视图 


Access 的 数据 文件 为 单 文件 形式 存储 ,没有 日 志 ,无 法 判断 数据 库 的 操作 情况 。 因 此 
只 能 通过 分 析 文件 属性 和 内 撕 的 元 数据 来 获取 一 定 的 信息 。 数 据 库 内 内 的 元 数据 在 * 文 
件 一 >“ 信 息 "一 >“ 查 看 和 编辑 数据 库 属性 "中 可 以 获得 ,如 图 7. 88 所 示 。 主 要 有 “创建 时 
间 ”、“ 修 改 时 间 ”、“ 访 问 时 间 ” 和 * 打 印 时 间 ”。 其 中 时 间 类 信息 取决 于 分 区 类 型 (例如 FAT 
分 区 的 访问 时 间 只 有 日 期 .没有 时 间 )。 


他 娃 时 间 : 2014 年 5 月 2 日 10:50:48 
中 | 修 误 时 间 : 2014 年 5 月 2 日 11:06:14 
访问 时 间 : 2014 年 5 月 2 日 10:50:47 
打印 时 间 : 


上 次 保存 者: 
修订 次 数 : 
编辑 时 间 总 计 : 


图 7.88 Access 2010 的 元 数据 信息 


2. 企业 级 数据 库 的 离线 分 析 
首先 重 构 数据 库 环 境 可 以 使 用 两 个 办 法 重 构 数 据 库 环境 : 一 是 利用 镜像 技术 制作 复制 
盘 , 直 接 在 复制 盘 上 进行 环境 重 构 ; 二 是 使 用 虚拟 机 ,在 虚拟 机 中 重 构 数据 库 环境 。 二 者 都 
不 会 影响 到 数据 库 文件 的 原始 性 。 
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通过 数据 环境 重 构 ,数据 库 恢 复 到 可 用 状态 。 数 据 库 中 的 内 容 就 可 以 正常 读 取 了 。 这 
些 内 容 往往 是 重要 线索 的 来 源 。 通 过 大 数据 的 碰撞 比 对 ,可 以 关联 出 需要 的 信息 。 数 据 库 
是 重要 的 载体 ,而 SQL 语句 则 是 工具 。 
例如 ,在 一 个 网 络 诈骗 的 案例 中 ,犯罪 嫌疑 人 虚构 了 一 个 著名 在 线 购物 网 站 的 页 面 , 诱 
导 网 民 访问 ,网 民 输 入 用 户 名 密码 后 ,用 户 名 密码 就 会 被 保存 在 数据 库 中 。 通 过 SQL 语句 ， 
可 以 迅速 过 滤 出 被 害 者 的 名 单 .访问 地 址 ,访问 时 间 等 ,如 图 7. 89 所 示 。 


mm SOL Server Enterprise Manager - [ 表 “BuyerData" 中 的 数据 ， 簿 置 是 kehu031" 中 、*(loca0" 上 ] 
多 文件 日” 窗口 (Ww) 帮助 4) =l5|x| 
加 | 理惠 匠 图 号 ! 卫 允 外 下 甩 医 和 


tine B suoshubbbiaoti ts suoshubbjit | 


yhy362951 2012-7-30 20;00:00 113.224.152.202 。 烙 力 KFR-120L9/E (12568L)A 建设 银行 - 4550. 00 
T39870670 zhangpei714923 2012-8-1 18:20:00 218. 29, 166. 14 T 天 包 有 换 三 彩 S122165L 专 柜 二 180.00 
je wiwjgz19761027 2012-8-3 17:34:00 。 219.156 174. 193 。 iphone4 黑 色 166 国 行 有 发 票 也 QULL> 2000.00 
ang19890511 。 zee19890511 2012-8-3 17:57:00 219.136.181.20 全 新 正品 〗 华为 55T00-46T NULL> 7800.00 
134175533 duanmingn00 2012-8-3 21:47:00 60.2.199.54 音 ， 谋 诈 中 国 幅 行 - 储 苗 下 350.00 
一 亚 电子 123 wangjiwwsal23 20 中 2-8-3 22;02;00 222,92,57.98 草 果 笔记 本 电脑 超重 D2500 真 . OULL> 700.00 
aft_T 0107ha5691 。。 2012-8-3 22:06:00 S58 51.196, 196 TENe320E320 (1296A41)【 行 基建 设 银行 -信用 下 3200.00 
ishengl10 1ps951 2012-8-4 11:42:00 106.3.61.244 :pad216G 本 人 自用 合 发 票 转 计 GTULL> 2100.00 
250332036 liv2tong? foi2AB 2012-8-4 11:44:00 122.9% 50 95 华 直 电信 一 区 天 目 山 20000 元 . 邮政 储 蜀 -入 车 卡 300 00 
1288 zpgl3307841286 2012-8-4 11;55:00 222 218 240 210 ”新款 电动 清 板 车 电动 自行 车 大 QULL》 660 00 
熏 略 认 59260T9quhaoyu 2012-8-4 11:57:00 216.19,229 25! 。 ipad2166 本 人 目 用 含 发 杰 转 计 支付 宇 家 匮 友 付 2000.00 
306121677 B9342523wyq ‘2012-8-4 12:27:00 122.68.173. 197 美的 外 贸 窗 式 空调 窗 式 机 1 5 中 国 银行 - 储 敬 下 1300 .00 
东 的 小 猪 2011 无 需 登 录 2012-0-4 15:46:00 49 72.23.49 Apple/ 苹 果 iPhone4S( 166) 交通 由 行 - 储 项 卡 2200.00 
Eyp SO128, com 8160ypf296 2012-8-4 15:50:00 114. 85. 252. 32 捷安特 山地 目 行车 一 熔 害 530 支付 宝 余额 支付 S580.00 
秀 琼 Al3794688623 。 2012-9-4 15:50:00 59,255.214.203 海尔 用 1 匹 定 : GULL> 1400. 00 
德 5860 xinini00200 。。 2012-8-4 15:54:00 124.42 201.181 出 小 米 手机 标准 版 ML> 1300.00 
6 二 126 com Bl60ypf295 2012-8-4 15:55:00 114.65.252. 32 所 安 竺 山地 自行 车 一 类 岩 520 QULL> 580.00 
尘 1 qipingd409 2012-8-4 15:59:00 112.3.40.109 国 行 黑色 95 新 i 了 hone4166 无 扩 支付 宝 余 格 支付 1500 00 
anaiqingeqe 861oo5tt 2012-8-9 11:22:00 118.117 181 100 8 地 索 /DAZZLF2012 年 夏装 222! 中 国 直行- 信用 卡 Lo0 


图 7.89 虚假 购物 网 站 的 BuyerData 表 查 询 


7.8.6 小 结 


在 大 数据 时 代 , 数 据 库 在 各 个 方面 广泛 应 用 。 从 最 简单 的 存储 有 各 种 数据 的 表格 到 海 
量 存储 公众 信息 的 大 型 数据 库 系统 。 这 些 数据 库 中 殖 藏 着 丰富 的 信息 。 利 用 数据 库 分 析 技 
术 , 可 以 迅速 有 效 地 提取 出 对 于 侦查 有 效 的 数据 或 证 据 。 


7.9 路 由 器 分 析 技 术 


7.9.1 路 由 器 分 析 的 侦查 作用 


路 由 器 是 网 络 犯罪 侦查 中 常用 的 网 络 设备 ,在 网 络 犯罪 中 ,路 由 器 既 会 是 网 络 犯罪 侵害 
的 对 象 ,又 会 是 嫌疑 人 用 于 犯罪 的 工具 。 在 网 络 犯罪 侦查 中 ,通过 路 由 器 的 分 析 , 不 仅 能 够 
避 定 遭受 侵害 的 证 据 , 而 且 还 能 够 根据 路 由 器 内 的 信息 发 现 尚未 发 现 的 案件 线索 或 电子 
设备 。 
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1. 通过 路 由 器 的 路 由 表 配 置 或 当前 连接 的 设备 网 络 地 址 发现 尚 未 掌握 的 案件 线索 

在 网 络 犯罪 侦查 中 ,可 以 通过 路 由 器 上 当前 连接 的 设备 MAC 地 址 ,查看 连接 的 电子 设 
备 ,而 且 还 可 以 判断 是 否 有 人 足 网 作案 ,同时 还 可 以 根据 路 由 器 的 配置 信息 ,发 现 路 由 器 下 
级 网 络 中 开启 了 哪些 网 络 服务 应 用 ,如 Web、FTP 等 ,为 全 面 掌 握 案 件 情况 ,开展 案件 侦查 
提供 重要 线索 。 

2. 通过 路 由 器 日 志和 流量 分 析 , 发 现 网 络 侵害 案 事件 发 生 的 时 间 、 过 程 以 及 可 能 的 危害 

路 由 器 通常 会 有 一 定 的 日 志 记录 功能 ,日 志 中 记录 的 事项 .详细 程度 因 路 由 器 不 同 而 不 
同 ， 来 说 , 接 和 人 级 路 由 器 日 志 记录 的 信息 相对 较 少 ,企业 级 .骨干 级 路 由 器 日 志 记 录 的 信 
息 相对 丰富 一 些 ,可 以 记录 路 由 器 登录 成 功 或 失败 的 时 间 、IP 地 址 、 路 由 器 内 置 防火 墙 异常 
流量 的 时 间 和 IP 地址 、 路 由 器 配置 变更 情况 等 信息 ,通过 这 些 信息 不 仅 可 以 分 析出 路 由 器 
或 路 由 器 下 级 网 络 遭 受 网 络 攻击 的 时 间 、 攻 击 过 程 等 网 络 犯罪 过 程 ,而 且 还 可 以 根据 路 由 器 
日 志 分 析出 犯罪 嫌疑 人 的 作案 目的 和 动机 ,为 处 置 网 络 突 发 情况 .弥补 网 络 漏洞 减 小 社会 
和 危害 提供 依据 。 

3, 通过 路 由 器 端口 镜像 功能 ,能够 监听 网 络 中 特定 端口 的 数据 包 

多 数 高 端 路 由 器 具有 端口 镜像 功能 .能 够 将 某 个 物理 端口 或 IP 地 址 的 数据 包 流 量 镜像 
到 监控 主机 的 端口 上 。 在 网 络 攻击 案件 中 ,例如 DDoS ,渗透 攻击 等 ,在 攻击 进行 过 程 中 , 通 
过 分 析 端 口 流量 或 某 个 地 址 的 流量 ,发 现 流量 异常 端口 或 卫 地 址 ,然后 将 被 攻击 端口 或 卫 
的 数据 包 镜 像 到 监控 主机 上 ,进行 分 析 不 仅 可 以 快速 查找 攻击 源 . 固 定 网 络 攻击 证 据 ; 通过 
对 数据 包 的 分 析 , 而 且 还 可 以 判断 通信 双方 的 操作 系统 、 网 络 信息 流量 、 经 过 的 路 由 、 数 据 包 
的 大 小 以 及 数据 包 的 内 容 等 。 


7.9.2 路 由 器 分 析 的 注意 事项 


路 由 器 与 计算 机 不 同 , 路 由 器 的 易 失 性 数据 比例 较 高 ,因此 对 路 由 器 的 分 析 和 取证 往往 
要 同时 进行 ,降低 路 由 器 易 失 性 数据 损毁 的 风险 。 

1. 全 程 记录 对 路 由 器 的 操作 ,严禁 重启 路 由 器 

路 由 器 自身 存储 空间 有 限 ,大量 数 据 都 是 在 闪存 中 运行 并 临时 存储 的 ,为 降低 路 由 器 组 
存 被 循环 覆盖 的 概率 ,应 尽量 减少 对 路 由 器 的 操作 环节 ,重启 路 由 器 会 造成 大 量 易 失 性 数据 
丢失 而 无 法 恢复 ,特别 是 家 庭 接 人 级 路 由 器 ,其 大 量 日 志 信 息 是 在 缓存 中 存储 的 ,重启 路 由 
器 会 使 日 志 数 据 丢失 。 同 时 ,在 对 路 由 器 分 析 过 程 中 ,应 通过 屏幕 录像 .摄像 .笔录 等 方式 全 
程 记录 对 路 由 器 的 操作 ,为 后 期 进一步 分 析 路 由 器 上 的 数据 提供 依据 。 

2. 尽量 通过 控制 台 访 问 路 由 器 .不 要 通过 网 络 访问 路 由 器 

在 对 路 由 器 进行 分 析 时 ,尽量 将 PC 的 串口 直接 通过 Rollover 线 与 路 由 器 控制 台 端 口 
Console 相连 ,运行 超级 终端 程序 与 路 由 器 进行 通信 ,也 可 将 PC 与 路 由 器 辅助 端口 AUX 
直接 相连 ,对 路 由 器 的 配置 和 日 志 进 行 分 析 , 尽 量 避 免 通 过 telnet 或 网 络 管理 工作 站 等 网 络 
方式 访问 路 由 器 。 一 般 情 况 下 ,通过 终端 控制 台 (Console, 用 终端 仿真 到 路 由 器 里 ,可 对 路 
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由 器 进行 配置 ) 登 录 路 由 器 的 访问 权限 较 通过 常规 网 络 端口 登录 路 由 器 的 访问 权限 要 大 一 
些 , 而 且 通 过 终端 控制 台 访 问 路 由 器 可 以 不 影响 通过 网 络 对 路 由 器 的 访问 ,保持 当前 路 由 器 
网 络 端口 状态 。 

3. 记录 路 由 器 的 时 间 以 及 与 标准 时 间 的 差 什 

在 对 路 由 器 的 分 析 中 ,路 由 器 的 时 间 信 息 以 及 与 标准 时 间 的 差 值 对 与 路 由 器 日 志 分 析 、 
数据 包 分 析 等 具有 重要 意义 ,在 对 路 由 器 进行 分 析 时 ,要 查看 并 记录 路 由 器 的 时 间 、 时 区 、 夏 
时 制 等 详细 时 间 信 息 以 及 与 标准 时 间 的 差 值 。 

4. 提取 ,固定 易 失 性 数据 

路 由 器 存储 空间 有 限 , 大 量 临时 性 数据 在 闪存 中 存储 ,数据 覆盖 频率 较 高 ,而 且 有 些 数 
据 会 因 路 由 器 重启 或 断 电 而 丢失 。 例 如 有 的 路 由 器 自身 日 志 信 息 默认 存储 空间 仅 有 
4096B ,空间 存储 满 后 自动 循环 覆盖 ; 路 由 器 中 正在 转发 的 数据 包 转 瞬 即 逝 ; 侦查 人 员 对 路 
由 器 进行 分 析 时 ,一些 操 作 也 会 对 路 由 器 中 的 易 失 性 数据 造成 破坏 。 这 些 易 失 性 数据 对 于 
网 络 犯罪 侦查 具有 重要 的 线索 和 证 据 价 值 ,数据 丢失 会 影响 案件 的 侦办 ,在 对 路 由 器 进行 分 
析 时 要 及 时 将 易 失 性 数据 进行 提取 、 固 定 。 

5. 严禁 使 用 配置 命令 

网 络 犯罪 侦查 中 ,侦查 人 员 需 要 保护 路 由 器 中 的 数据 ,防止 路 由 器 内 的 数据 遭 到 破坏 ， 
除 特 殊 情 况 外 ,例如 路 由 器 口令 被 违法 犯罪 嫌疑 人 破解 等 ,严禁 使 用 配置 命令 修改 路 由 器 
配置 。 

6. 注意 路 由 器 的 数据 与 其 他 数据 的 关联 

虽然 路 由 器 中 保存 了 大 量 有 助 于 侦查 网 络 犯罪 的 电子 数据 ,但 是 在 有 些 网 络 犯罪 案件 
中 ,仅仅 关注 路 由 器 中 保存 的 数据 是 不 够 的 ,还 应 当 关注 路 由 器 所 在 网 络 中 的 数据 ,例如 路 
由 器 正在 转发 的 数据 .路 由 器 端口 上 的 数据 .网络 中 的 广播 数据 包 等 等 ,这 些 数 据 可 以 反映 
出 正在 实施 的 网 络 犯罪 的 状态 ,从 中 可 以 发 现 诸如 网 络 攻击 源 等 案件 侦查 线索 。 


7.9.3 路 由 器 分 析 流程 


1. 查看 路 由 器 信息 

在 全 程 录 像 的 情况 下 ,通过 路 由 器 命令 ,查看 路 由 器 技术 支持 ,版 本 信息 .时 间 信 息 、 错 
误 监 测 信 息 、IP 信息 .snmp 信息 .系统 信 息 、 正 在 登录 的 用 户 信息 、 当 前 日 志 信息 .日 志 缓 存 
状态 信息 等 路 由 器 状态 信息 。 
1) 企业 级 .骨干 级 路 由 器 信息 查看 方法 与 品牌 型 号 有 关 , 需 要 提前 做 好 预案 ,了 解 该 品 
牌 路 由 器 的 配置 和 使 用 信息 。 以 CISCO 路 由 器 为 例 ,讲解 查看 路 由 器 信息 的 常用 命令 : 

(1) 查看 路 由 器 时 间 信 息 。 

show clock detail: 显示 路 由 器 系统 时 间 信 息 ( 含 时 间 源 、 夏 时 制 ) 。 

show timezone: 显示 路 由 器 系统 时 区 信息 命令 。 
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(2) 查看 路 由 器 设备 软 硬 件 及 配置 信息 。 
show tech-support: cisco 设计 用 于 获取 设备 基本 信息 的 集成 命令 ,可 以 显示 设备 的 硬 


件 、 软 件 .配置 等 信 


命 令 


息 ,执行 这 个 命令 后 ,相当 于 执行 了 如 表 7. 23 所 示 的 所 有 命令 。 


表 7.23 show tech-support 包含 的 命令 


含 义 


show version 


显示 系统 硬件 的 配置 ,软件 的 版 本 、 配 置 文件 的 名 称 和 来 源 及 引导 映像 


show running-config 


显示 RAM 中 的 当前 配置 信息 


show users 


显示 路 由 器 当前 登录 账号 情况 ,包括 console 口 和 远程 登录 上 的 账号 


show startup-config 


显示 NVRAM 中 的 启动 配置 文件 


show reload 


显示 重启 计划 


show logging buffer 


显示 日 志 存储 缓存 区 信息 


show firewall 


显示 防火 墙 状态 ,包括 防火 墙 是 否 启用 ,启用 防火 墙 时 是 否 采用 了 时 间 段 
包 过 滤 及 防火 墙 的 一 些 统计 信息 


Show errordetection 


显示 错误 检测 信息 


show stacks 


显示 路 由 器 监视 程序 和 中 断 程序 的 堆栈 使 用 情况 ,以 及 路 由 器 上 一 次 重 
启 的 原因 ,路 由 器 重启 或 使 用 reload 命令 会 导致 该 信息 丢失 


show interfaces 


显示 路 由 器 上 接口 的 物理 层 和 数据 链 路 层 的 信息 ,包括 硬件 地 址 、. 迎 辑 地 
址 和 封装 方式 等 信息 


show controllers 


显示 路 由 器 接口 的 硬件 信息 


show file systems 


显示 路 由 器 文件 系统 结构 


show interface switchport 显示 接口 交换 端口 


(3) 查看 IP 相关 信息 。 
利用 show 命令 ,可 以 获取 大 量 信息 。 
show ip interfaces: 显示 路 由 器 上 接口 的 网 络 层 的 信息 ,包括 IP 地 址 . 子 网 掩 码 等 基本 


的 IP 信息 、 访 问 列 表 及 接口 状态 等 信 
: 显示 IP 路 由 表 信 息 , 结 果 如 图 7. 90 所 示 。 


show ip route 


Routergshow ip route 
Codes: C - connected, 8 -~ static, I ~ ICRP, Rh ~- RIP, N ~- nobile, BE ~ BCP 


D - BIGRP, EX - EIGRP external, 0 - OSPF, IA - OSPF inter area 

Nl - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 

El - OSPF external type 1, HZ2 - OSPF external type 2, BE - EGP 

i ~ IS-IS, Ll - IS-Ig level-l, L2 - IS-IS level-2, ia - IS-IS inter area 
+ - candidate default, U - per-user static route, o - ODR 

了 - periodic domloaded static rouce 


Gateway of last resort is not set| 


moon 


10.0.0.0/30 is subnetted, 2 subnets 

10-0-0-0 is directly comected, FastEthernet0/0 

10.0.1.0 is directly comected, FastEthernet0/l 
192.168.0.0/24 [120/1] via 10.0.0.1, 00:00:04, FastEthernecO/0 
192-168-1-0/24 [120/1] via 10.0.1.2, 00:00:04, FastEthernet0/l 


图 7.90 show ip route 命令 结果 
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前 半 部 分 是 代码 说 明 , 后 半 部 分 是 子 网 转发 路 径 信 息 。 其 含义 如 下 : 

10. 0. 0.0/30 is subnetted, 2 subnets 一 一 10. 0. 0.0/30 包括 两 个 网 段 ; 

10. 0. 0. 0 is directly connected，FastEthernet0/0 一 一 10. 0. 0.0 是 直 连 网 段 ,接口 为 
F0/0; 

192. 168. 0.0/24[120/1] via 10. 0. 0. 1, 00:13:28, FastEthernet0/0——192. 168. 0. 0/ 
24 需要 通过 下 一 跳 10. 0. 0. 1 到 接口 F0/0, 上 次 更 新 于 13 分 28 秒 前 。 

通过 上 述 命令 ,可 以 推断 出 该 网 络 的 基本 结构 ,绘制 出 基本 拓扑 图 。 

2) 接 入 级 路 由 器 信息 查看 方法 。 

接 人 级 路 由 器 主要 是 指 日 常 家 庭 或 单位 所 使 用 的 小 型 宽带 路 由 器 ,主要 是 指 无 线路 由 
器 .智能 路 由 器 等 ,此 类 路 由 器 一 般 是 通过 Web 界面 登录 和 查看 路 由 器 的 配置 信息 和 状态 
信息 。 接 和 人 级 路 由 器 的 默认 登录 账号 /密码 一 般 都 印刷 在 背部 标识 上 。 嫌 疑 人 有 可 能 不 会 
修改 默认 密码 。 路 由 器 背部 标识 登录 用 户 名 和 密码 如 图 7. 91 所 示 ,部 分 品牌 路 由 器 默认 账 
户 /密码 如 表 7. 24 所 示 。 


TP-LINK 有 加 市 蔡 联 技 


300M 双 频 无 线路 由 器 
型 号 :TL-WDR1100 
电源 规格 -9V 一 0.6A 
路 由 器 IP:192.168.1.1 


图 7.91 TP-Link 的 默认 账户 /密码 信息 


表 7.24 路 由 器 默认 账户 /密码 


默认 账户 /密码 路 由 器 

admin/admin TP-Link( 普 联 达 )、Mercury( 水 星 ) .FAST( 迅 捷 ) 
guest/ guest 硕 科 

admin/ 空 D-Link( 友 讯 ) 


通常 情况 下 ,将 计算 机 与 路 由 器 设置 为 与 路 由 器 内 网 相同 的 网 段 ,该 网 段 的 网 关 地 址 为 
路 由 器 Web 登录 的 人 PP 地 址 ,在 浏览 器 内 输入 该 地 址 即 可 访问 ,在 弹出 的 登录 对 话 框 ,输入 
用 户 名 和 口令 后 即 可 登录 到 路 由 器 的 主 界面 , 主 界面 中 会 显示 路 由 器 的 运行 模式 、 软 硬件 版 
本 、LAN 口 状态 ,无线 网 络 状态 等 信息 。 
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在 路 由 器 的 配置 界面 ,可 以 查看 相关 信息 :如 图 7. 92 所 示 ,为 路 由 器 的 基本 设置 .网 络 
安全 设置 .MAC 地 址 过 滤 和 网 络 主机 状态 等 无 线 设置 相关 信息 界面 ,从 中 可 以 提取 到 无 线 
网 络 的 SSID 号 .模式 、 加 密 类 型 .加 密 算法 类 型 .密码 .MAC 地 址 过 滤 设 置 以 及 当前 正在 通 
过 无 线 网 络 连 接 到 路 由 器 的 MAC 地 址 .连接 状态 ,收发 数据 包 数 量 等 信息 。 


本 页 面 设置 路 由 吕 无 绪 网 络 的 安全 认证 选项 。 和 ss 
安全 提示 : 为 保障 网 络 安 全 ， 强 列 推荐 开启 安全 设置 ， 并 使 用 达 - sr 号， 
TSKYFA2-FSK js 加密 方法 * 信 通 : [& 动 EE] 
模式 :+ 
昌 不 开启 E 线 安全 晴雨 王 : [生动 _[=] 
重大 发 送 带 训 : [oouees T=] 
WPA-PSE/WPA2-FSK 加 开 咎 无 续 功能 
iE: [Wesz-psk [=] 加 天才 
加 硬 基 法 : [Les E] ms 
recER: Err 
《9-63 个 ACSII 码 字符 或 8-64 个 十 六 进 制 字 符 》 
组 守 钥 更 新 周期: [S00 | 吉 页 设置 ahc 地 址 过 迁 夺 控制 计算 届 对 本 无 4 和 放 |。 
《单位 为 种 ， 最 小 值 为 9， 不 更 新 风 为 0 。。 wx + x [| 
RM 
© wee 本 北齐 天 机 中 生 部 规 玉 之 的 WC 地 址 旋 问 本 无 MRI 由 
认证 类 型 : [有 EE] 全 ”大 止 列表 中 生效 失 刚 之 州 的 WC 地 址 请 同村 无 7F4 络 
加 密 算 法 : [EB 辐 C5 TT ww Tw Tl ss Tm] 
Ts 一 一 一 
EN [812 。] 《1- os55，0 来 未 慰 认 冰 口 :ERIEIEEITTEI 
1812) 环 而 加 入 笑 术 犁 本 无 A508 的 所 和 主机 8$ 匡 本 信息 。 
Badius 密 码 : 当 拓 所 连 拉 的 主机 各 1 。 [本 | 到] 
组 密 铀 更 新 周期 : | NS ETTS 和 有 医 ITTT 本 恬 SCCITT 
《单位 为 秒 ， 最 小 值 为 20， 不 更 新 则 为 0》 [em mer | sm | om | 


图 7.92 接 入 级 路 由 器 的 无 线 设置 界面 


还 可 以 提取 到 当前 通过 无 线 和 有 线 连 接 路 由 器 的 所 有 客户 端 名 称 、MAC 地 址 、 使 用 的 
IP 地 址 .ARP 映射 表 以 及 路 由 器 WAN 口 的 MAC 地 址 ,如 图 7.93 所 示 。 通 过 将 WAN 口 
MAC 地 址 与 路 由 器 机 身 标示 的 MAC 地 址 进行 比较 ,可 以 确定 路 由 器 WAN 口 的 MAC 地 
址 是 否 进行 过 改动 。 

此 外 ,还 可 以 获取 到 路 由 器 的 ADSL 拨号 账号 ,密码 网络 参 数 .DHCP 设置 转发 规则 、 上 
网 控制 .IP 带宽 控制 ,IP 与 MAC 绑 定 ,动态 DNS ,静态 路 由 表 、 安 全 设置 .网络 参 数 等 信息 。 

通过 查看 路 由 器 信息 ,不 仅 可 以 提取 路 由 器 当前 系统 运行 状态 、 网 络 连接 状态 .正在 通 
信 的 主机 名 称 、IP 地 址 .MAC 地 址 等 信息 ,及 时 固定 电子 数据 证 据 , 而 且 还 可 以 根据 路 由 表 
或 相关 配置 信息 分 析出 网 络 拓扑 结构 、 路 由 器 在 目标 网 络 中 的 角色 及 作用 目标 网 络 中 尚 不 
掌握 的 设备 IP 地 址 .MAC 地 址 、 主 机 名 称 、 设 备 类 型 等 信息 、 网 管 设备 及 数据 流量 信息 等 ， 
为 网 络 犯罪 侦查 进一步 拓展 线索 。 

2. 提取 、 分 析 路 由 表 

1) 路 由 表 的 功能 

路 由 器 的 主要 工作 就 是 为 经 过 路 由 器 的 每 个 数据 包 寻 找 一 条 最 佳 的 传输 路 径 , 并 将 该 
数据 有 效 地 传送 到 目标 站 点 。 为 了 完成 这 项 工作 ,路 由 器 中 保存 着 各 种 传输 路 径 的 相关 数 
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本 页 设置 路 由 器 对 广博 F 双 JaAC 地 址 。 

注意 : 如 果 您 的 系统 模式 为 “无 线 ADSL 析 ”或 “无 线路 由 ”， 在 使 用 WC 地 
址 克隆 时 ， 设 置 的 路 由 器 YANDWAC 地 址 不 能 与 局 坛 53PC89aAC 地 址 相同 > 
uc 地 上 
irc 


注意 : 只 有 局 域 网 中 的 计算 机 才能 使 用 本 功能 。 


图 7.93 接 入 级 路 由 器 的 无 线 设置 界面 


据 , 即 路 由 表 (Routing Table), 供 路 由 选择 时 使 用 , 表 中 包含 的 信息 决定 了 数据 转发 的 策 
略 , 路 由 表 中 保存 着 子 网 的 标志 信息 .网 上 路 由 器 的 个 数 和 下 一 个 路 由 器 的 名 字 等 内 容 ,路 
由 表 信 息 可 以 反映 出 路 由 器 的 当前 工作 状态 和 出 现 问题 的 地 方 。 路 由 表 可 以 是 由 系统 管理 
员 固定 设置 好 的 ,也 可 以 由 系统 动态 修改 ; 可 以 由 路 由 器 自动 调整 ,也 可 以 由 主机 控制 。 

路 由 表 分 为 静态 (static) 路 由 表 和 动态 (dynamic) 路 由 表 , 静 态 路 由 表 是 由 系统 管理 员 
事先 设置 好 的 路 由 表 ,一 般 是 在 系统 安装 时 就 根据 网 络 的 配置 情况 预先 设 定 的 , 它 不 会 随 未 
来 网 络 结 构 的 改变 而 改变 。 动 态 路 由 表 是 路 由 器 通过 路 由 选择 协议 (Routing Protocol) 提 
供 的 功能 ,自动 学 习 和 记忆 网 络 运行 情况 ,根据 网 络 系统 的 运行 情况 而 自动 调整 的 路 由 表 ， 
能 够 自动 计算 数据 传输 的 最 佳 路 径 。 

2) 提取 路 由 表 

提取 路 由 表 时 ,需要 通过 计算 机 与 路 由 器 建立 连接 ,为 避免 被 嫌疑 人 发 现 、 减 少 对 路 由 
器 数据 的 破坏 , 除 特殊 情况 外 ,一 般 是 通过 console 电缆 建立 计算 机 与 路 由 器 console 口 的 
连接 ,如 图 7. 94 所 示 。 通 过 相关 控制 台 程 序 ,如 Windows 系统 的 超级 终端 ,登录 到 路 由 器 
上 ,使 用 相关 的 命令 .例如 CISCO 路 由 器 使 用 show ip route 命令 、 华 为 路 由 器 使 用 display 
ip routing-table 命令 获取 路 由 器 的 路 由 表 , 如 图 7. 95 所 示 。 

3) 分 析 路 由 表 

路 由 表 每 个 项 的 目标 字段 含有 目标 网 络 前 级 ,还 有 一 个 附加 字段 ,用 于 指定 网 络 前 级 位 
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配置 口 (console) 电 缆 配置 口 (console) 


图 7.94 通过 console 电缆 建立 计算 机 与 路 由 器 的 连接 


CoEE0 LNsh ip route 
Codes: C - te S$ - static, R ~ RIP, HW ~ 
GRP , ~ EIGRP 


1 
i ~ IS-IS, su ~ IS-IS sunnary, L 
ia - ITS-IS inter area, » ~ candida ault, U ~ per-user static route 
R, P ~ periodic downloaded ci rote 


6ateway of last resort is 192.168.10.1 to network 60.6.0.0 


R 192.168.39.0/24 [129/1] via 192.168.29.1, 90: :2 22; rtEtheraete1 
C 1 J 18-8/24 is directly connected, FastEtherne 
.0/24 is directly connected, 多 
2 is Subnett subnets 
1,32.0 [126/1] via 192. 3 10.1, 090:00:34, FastEthernet8/0 
B/8 [1/6] via 192.168.19.1 


图 7.95 通过 Windows 的 超级 终端 登录 CISCO 路 由 器 并 提取 路 由 表 


数 的 子 网 掩 码 (subnet mask) ,当下 一 跳 字 段 代 表 路 由 器 时 ,下 一 跳 字 段 的 值 使 用 路 由 的 下 
地 址 。 如 图 7. 96 所 示 为 某 路 由 器 当前 激活 的 动态 路 由 表 内 容 。 


Active Routes: 
Network Destination Interface NMetric 
25. 254 192.168.125.111 


25. 254 192.168. 99 


125. 99 
.99 


192. 168. 125. 111 

192. 168 125. 255 

92.168. 125. 255 
0.0 


& 
1 
和 
1 
¥ 
1 
和 
1 
1 
1 


19 111 
192.168.125. 99 


192.1 ,11 
255. 255 汪汪 仁和 


255. 2! 
Default Gateway: 192.168. 125. 254 


图 7.96 路 由 表 内 容 


Network Destination 为 目标 网 段 , Netmask 为 子 网 掩 码 ,Gateway 为 网 关 IP 地 址 , 代 
表 下 一 跳 路 由 器 入 口 的 人 * 地 址 ; Interface 为 到 达 该 目的 地 的 本 路 由 器 的 出 口 IP; Metric 
为 跳 数 ,代表 该 条 路 由 记录 的 质量 ,一 般 情 况 下 .如果 有 多 条 到 达 相 同 目的 地 的 路 由 记录 ,路 
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由 器 会 选择 Metric 值 小 的 那 条 路 由 。 

例如 ,第 一 条 为 默认 路 由 , 当 一 个 数据 包 的 目标 网 段 不 在 路 由 表 记 录 中 时 ,路 由 器 将 把 数 
据 包 发 送 到 那个 IP 地 址 ,默认 路 由 的 网 关 是 由 连接 上 的 default gateway 决定 的 。 因 此 第 一 条 
路 由 表 记 录 的 含义 是 当 接收 到 一 个 数据 包 的 目标 网 段 不 在 路 由 表 记 录 中 ,路 由 器 会 将 该 数据 
包 通 过 192. 168. 125. 111 这 个 接口 发 送 到 192. 168. 125. 254,192. 168. 125. 254 是 下 一 个 路 由 
器 的 一 个 接口 ,数据 包 就 可 以 交付 给 下 一 个 路 由 器 处 理 ,该 路 由 表 记 录 的 线路 质量 是 1。 

第 四 条 为 直 联 网 段 的 路 由 记录 , 当 路 由 器 收 到 发 往 直 联网 段 的 数据 包 时 ,路 由 记录 的 
interface 和 gateway 相同 。 该 条 路 由 记录 的 含义 是 当 接 收 到 一 个 数据 包 的 目标 网 段 是 
192. 168. 125.0 时 ,路 由 器 会 将 该 数据 包 通 过 192. 168. 125. 99 这 个 接口 直接 发 送出 去 ,该 
路 由 记录 的 线路 质量 是 1。 第 五 条 与 第 四 条 路 由 记录 相同 。 

第 六 条 为 本 地 主机 路 由 , 当 路 由 器 收 到 发 送 给 自己 的 数据 包 时 ,应 该 发 给 自己 本 机 。 该 
条 路 由 记录 的 含义 是 当 接 收 到 一 个 数据 包 的 目标 网 段 是 192. 168. 125. 99 时 ,会 将 该 数据 包 
发 给 自己 本 机 ,该 路 由 记录 的 线路 质量 是 1。 第 七 条 与 第 六 条 相似 ,也 是 本 地 主机 路 由 。 

第 八条 为 本 地 广播 路 由 , 当 路 由 器 收 到 发 送 给 直 联 网 段 的 本 地 广播 时 ,路 由 记录 的 
interface 和 gateway 相同 ,路 由 器 会 将 数据 包 从 interface 接口 以 广播 形式 发 送出 去 。 该 条 
路 由 表 记 录 的 含义 是 当 路 由 器 接收 到 广播 数据 包 的 目标 网 段 是 192. 168. 125. 255 时 ,路 由 
器 会 将 该 数据 从 192. 168. 125. 99 接口 以 广播 的 形式 发 送出 去 ,该 路 由 记录 的 线路 质量 是 
1。 第 九条 与 第 八条 相似 ,也 是 本 地 广播 路 由 。 

通过 提取 分析 路 由 表 , 可 以 勾勒 出 路 由 器 所 在 网 络 的 拓扑 结构 ,为 进一步 了 解 目 标 网 
络 结构 提供 必要 的 帮助 ,还 可 以 将 原来 保存 的 静态 路 由 表 与 当前 路 由 表 进 行 比 对 , 发现 异 
党 ,分 析 、 推 断路 由 表 被 修改 所 产生 的 后 果 ,进而 分 析 犯 罪 动 机 ,及 时 进行 应 急 处 置 ,降低 网 
络 攻 击 等 网 络 犯罪 对 现实 社会 的 影响 。 

3. 提取 路 由 器 日 志 

(1) 接 入 级 路 由 器 日 志 提 取 。 一 般 来 说 , 接 入 级 、 部 分 企业 级 路 由 器 由 于 自身 存储 容量 
有 限 ,往往 将 日 志 存 储 于 路 由 器 缓存 中 ,有 可 能 会 因 路 由 器 关闭 或 重新 启动 而 造成 日 志 
失 , 因 此 这 些 路 由 器 应 当 在 断 电 前 提取 路 由 器 的 日 志 信息 ,这 些 路 由 器 往往 通过 Web 方式 
即 可 登录 到 路 由 器 中 进行 查看 .获取 。 如 图 7. 97 所 示 ,为 某 家 庭 无 线路 由 器 日 志 。 

接 和 级 路 由 器 的 日 志 记录 功能 较 差 .时 间 信 息 往往 需要 同步 互联 网 授时 服务 器 或 者 以 
路 由 器 启动 运行 的 相对 时 间 进行 记录 ,如 图 7. 97 所 示 , 路 由 器 使 用 的 是 相对 时 间 记 录 日 志 
信息 。 接 入 级 路 由 器 日 志 主 要 会 记录 路 由 器 启动 情况 (激活 了 哪些 服务 等 ) IP 地 址 分 配 情 
况 、 功 能 设置 情况 、 网 络 连 接 情 况 、 地 址 认证 情况 等 ,日 志 记录 的 信息 会 因 路 由 器 品牌 、 型 号 
的 不 同 而 具有 一 定 的 差异 ,这 在 侦查 中 ,要 注意 辨别 ,不 要 一 概 而 论 。 

(2) 骨干 级 路 由 器 日 志 提 取 。 骨 干 级 路 由 器 和 部 分 高 端的 企业 级 路 由 器 具有 和 较 强 的 日 
志 记 录 功 能 ,有 些 路 由 器 自身 具有 一 定 的 日 志 存 储 空间 .有 些 路 由 器 可 以 直接 将 日 志 数 据 存 
储 到 网 络 中 单独 的 服务 器 中 。CISCO 路 由 器 通过 show logging buffer 命令 可 以 查看 日 志 
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TP-LINK 


EE3 
订 页 中 荐 自如 的 条 护 志 * 再 户 可 以 分 关 、 分 名 二 看 其 中 部 分 日 专 ， 并 且 可 以 介 丰 日 专 内 容 或 插 日 志 内 容 通过 邮件 发 送 ， 


于 过 地 和 直送 日 去 功 胰 : 。 未 启用 [了 ES 


过 择 要 查看 的 日 去 关 型 过 所 要 查看 9 日 走 等 织 ，[ALL = 


图 7.97 接 入 级 路 由 器 日 志 信 息 


存储 缓存 区 信息 ,通过 show logging 命令 可 以 查看 路 由 器 当前 系统 日 志 、 错 误 和 事件 记录 
的 状态 ,包括 所 有 配置 的 路 由 器 日 志 服 务 器 地 址 、 开 启 的 日 志 类 型 以 及 日 志 记 录 统 计 信 息 ， 
但 是 由 于 路 由 器 自身 缓存 区 空间 有 限 ,路 由 器 缓存 区 内 的 日 志 信息 会 自动 循环 覆盖 。 
骨干 级 路 由 器 日 志 结 构 复 杂 数据 量 巨大 ,需要 利用 日 志 分 析 技 术 , 借 助 日 志 分 析 工具 
进行 查看 和 分 析 , 实 现 对 路 由 器 syslog 日 志 的 提取 、 固 定 和 分 析 。 
4. 智能 路 由 器 分 析 
智能 路 由 器 通常 配置 有 一 块 存储 介质 ,用 于 安装 路 由 系统 和 保存 数据 。 在 网 络 犯罪 侦 
查 中 ,可 通过 设备 制作 智能 路 由 器 内 置 存储 介质 的 镜像 ,然后 通过 分 析 存 储 介质 镜像 ,往往 
能 获得 连接 设备 历史 记录 、 日 志 记 录 等 信息 。 例 如 在 小 米 智能 路 由 器 的 系统 使 用 Linux 内 
核 ,存储 介质 采用 ext4 文件 系统 ,sqllite 数据 库 文件 /etc xq. db 中 记录 了 曾经 连接 至 该 路 
由 器 的 终端 设备 的 MAC 地 址 和 设备 名 称 ,/usr/log 目录 下 存放 了 大 量 的 messages 日 志文 
件 , 包 括 通过 智能 路 由 器 管理 界面 下 载 的 日 志 之 前 更 早期 的 日 志 记录 ,sqllite 数据 库 文 件 / 
thunderDB/etm. db 中 记录 了 使 用 智能 路 由 器 远程 操纵 下 载 功能 ,将 互联 网 上 的 视频 、 图 
片 、 音 频 等 文件 下 载 到 智能 路 由 器 内 置 存储 介质 中 的 下 载 任务 创建 时 间 、 下 载 开始 时 间 、 下 
载 完成 时 间 、 下 载 文 件 名 、 文 件 保存 路 径 、 下 载 链 接地 址 等 日 志 记 录 信 息 。 


7.9.4 小 结 
路 由 器 作为 一 种 普遍 应 用 的 互联 网 设备 ,从 其 诞生 就 与 网 络 犯 罪 缠 绕 在 了 一 起 ,或 者 是 
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为 网 络 犯罪 提供 网 络 传输 ,或 者 成 为 网 络 犯罪 的 对 象 。 伴 随 着 “ 物 联网 “智能 家 居 ” 等 概念 
的 兴起 ,路 由 器 特别 是 智能 路 由 器 将 逐渐 成 为 日 常生 活 和 互联 网 络 中 必 不 可 少 的 部 分 ,路 由 
器 更 多 的 时 候 会 成 为 网 络 犯罪 的 对 象 , 通 过 分 析 路 由 器 上 的 信息 ,可 以 帮助 侦查 人 员 获 得 更 
多 的 网 络 犯罪 案件 的 破案 线索 和 犯罪 证 据 ,为 侦破 案件 .打击 犯罪 提供 有 力 的 支持 。 


7. 10 社会 工程 学 


7.10.1 社会 工程 学 概述 


网 络 时 代 , 人 与 人 由 于 网 络 的 隔绝 不 谋面 ,因此 更 难以 获得 信任 。 网 络 犯罪 案件 线索 的 
收集 方式 与 传统 方式 不 同 , 往 往 需要 利用 社会 工程 学 进行 攻击 。 网 络 时 代 的 社会 工程 学 具 
有 鲜明 的 特点 ,需要 提前 搜集 大 量 的 信息 ,针对 目标 的 实际 情况 ,进行 定点 的 心理 战术 的 攻 
击 。 系 统 及 程序 所 带 来 的 问题 往往 是 可 以 避免 的 ,而 在 人 性 及 心理 的 方面 来 说 ,社会 工程 学 
往往 是 一 种 利用 人 性 弱点 等 心理 表现 进行 攻击 ,使 对 方 防不胜防 。 

1. 社会 工程 学 的 定义 

人 类 历史 上 ,利用 人 性 的 弱点 ,运用 心理 学 ,社交 等 等 一 系列 手段 来 “ 套 取 ” 信 息 的 案例 比 
比 皆 是 。 传 统 的 社会 工程 学 ,主要 通过 邮寄 .电话 、 伪 装 等 方式 进行 欺骗, 进而 获取 有 攻击 目标 
敏感 的 线索 信息 ,社会 工程 学 在 犯罪 侦查 应 用 中 也 早 有 先例 ,例如 审讯 技巧 就 是 社会 工程 学 的 
综合 应 用 。 社 会 工程 学 概念 由 黑客 米 特 尼克 在 《欺骗 的 艺术 ) 中 首次 提出 ,将 其 上 升 为 理论 化 
高 度 ,其 初始 目的 是 让 全 球 的 网 民 们 能 够 懂得 网 络 安全 ,提高 警惕 ,防止 不 必要 的 个 人 损失 。 

如 今 随 着 网 络 技术 的 日 益 发 展 , 针 对 主机 、 服 务 器 等 网 络 设备 的 攻击 方式 及 手段 的 不 断 
更 新 ,网 络 安全 变 得 日 益 复 杂 。 网 络 防护 基本 聚焦 在 设备 安全 上 ,但 是 却 忽略 了 使 用 者 的 弱 
点 。 鉴 于 计算 机 和 网 络 的 程序 性 特征 ,各 种 操作 都 需要 人 的 参与 ,因此 计算 机 或 网 络 操作 者 
的 业务 素质 及 技术 能 力 将 直接 影响 着 系统 的 安全 。 而 社会 工程 学 正 是 利用 复杂 的 人 际 关 
系 ,感情 、 利 益 等 方面 人 性 的 弱点 ,对 犯罪 嫌疑 人 进行 攻击 ,骗取 其 信任 ,从 而 达到 搜集 .获取 
与 目标 系统 敏感 信息 的 目的 。 

综 上 ,社会 工程 学 是 一 种 通过 对 目标 心理 进行 评估 ,选择 适当 的 方式 ,来 获得 目标 信任 
以 获取 信息 的 技术 。 简 称 " 社 工 ”。 社 会 工程 学 不 等 同 于 一 般 的 “欺骗 手法 ,是 获得 心理 信 
任 的 一 种 攻击 方式 。 侦 查 机 关 使 用 的 社会 工程 学 ,必须 在 法 律 的 约束 下 进行 ,对 象 必须 限定 
于 犯罪 分 子 , 不 能 扩展 到 其 他 人 。 

2. 社会 工程 学 的 常见 类 型 

1) 物理 社工 

物理 社工 是 与 嫌疑 人 进行 面对面 的 交锋 ,以 突破 其 心理 防线 的 社会 工程 学 攻击 。 网 络 
犯罪 往往 隐蔽 性 强 ,嫌疑 人 技术 水 平 相 对 较 高 。 审 讯 涉 及 技术 ,侦查 人 员 往 往 落 于 下 风 , 嫌 
疑 人 往往 避重就轻 , 拒 不 交代 。 物 理 社 工 是 每 位 网 络 犯罪 侦查 员 必 须 掌 握 的 技能 ,与 传统 的 
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审讯 技巧 不 同 ,物理 社工 需要 提前 了 解 嫌疑 人 的 网 络 行为 ,在 大 数据 的 支持 下 制定 审讯 预 
案 , 寻 找 犯罪 嫌疑 人 的 弱点 ,这 样 才能 在 审讯 中 占据 上 风 。 

2) 电话 社工 

电话 社会 实际 上 也 是 一 种 物理 社会 工程 学 ,往往 用 于 抓 捕 过 程 , 利 用 掌握 犯罪 嫌疑 人 的 
行动 规律 ,组 织 构成 的 优势 ,使 用 电话 社工 判断 对 方 状 态 、 犯 罪人 员 聚 集 情况 ,以 利于 抓 捕 ， 
但 是 这 样 容易 暴露 目标 ,因此 要 慎 用 。 

3) 社交 软件 的 社工 

社交 软件 是 网 络 交流 的 主要 媒介 。 网 络 犯罪 分 子 基本 不 谋面 ,通过 微 信 、QQ 等 社交 软 
件 进 行 勾 连 、 实 施 犯 罪 。 因 为 犯罪 分 子 集中 在 同一 个 群 组 中 ,彼此 具有 基本 的 信任 。 侦 查 人 
员 可 以 利用 这 个 特点 ,对 犯罪 嫌疑 人 进行 社交 软件 社会 工程 攻击 。 

4) 钓鱼 的 社工 

侦查 员 可 以 利用 网 络 犯罪 分 子 的 个 人 喜好 、 关 注 焦点 等 信息 ,通过 诱 使 犯罪 分 子 访问 提 
前 设置 好 的 钓鱼 网 站 的 方式 ,获取 犯罪 分 子 相 关 信 息 。 


7.10.2 社工 工具 


社会 工程 学 的 最 大 难度 是 社工 人 员 需 要 花费 大 量 时 间 完 善 其 自身 的 技能 ,许多 攻击 方 
式 需 要 手动 创建 附加 木马 的 邮件 或 文档 并 有 技巧 地 发 送 给 嫌疑 人 实现 ,这 就 要 求 使 用 者 必 
须 熟 悉 掌 握 各 个 工具 的 使 用 命令 。 这 个 过 程 非常 烦琐 ,普通 侦查 人 员 无 法 胜任 。 在 实战 中 ， 
可 以 利用 社工 人 员工 具 包 (Social-Engineering Toolkit,SET)D 降 低 应 用 的 复杂 度 , 这 是 一 
个 由 David Kennedy 设计 的 社会 工程 学 工具 。SET 在 统一 简单 的 界面 上 集成 了 多 个 有 用 
的 社会 工程 学 攻击 工具 , 它 集成 在 网 络 安全 平台 Kali 中 ,利用 SET 工具 可 以 让 侦查 人 员 单 
击 几 下 鼠标 就 能 创建 PDF 文件 .电子 邮件 及 网 站 等 ,这 样 就 可 将 注意 力 集中 到 社会 工程 中 
的 “信任 攻击 ”上 了 。 

1.“ 社 工 包 ”(SET) 的 运行 

在 Kali 环境 中 ,在 set 目录 下 输入 . /set, 就 会 启动 初始 “社工 包 ”(SET) 菜 单 (如 图 7. 98 
所 示 )@。 

2. 后 门 漏洞 的 重 现 

某 些 软 件 在 编写 过 程 中 ,由 于 部 分 程序 员 的 编程 水 平 存 在 差异 ,往往 程序 中 会 存在 程序 
错误 .逻辑 漏洞 等 问题 ,例如 PDF 漏洞 ,可 以 插入 木马 或 者 后 门 。 利 用 SET 实现 ， 

首先 ,进入 到 “社工 包 ” 后 ,选择 选项 1( 参 见 图 7. 99)。 选 择 1 后 ,会 看 到 如 下 几 个 选项 : 
(1) 执 行 群发 邮件 攻击 ;(2) 创 建 一 个 文件 格式 负载 ; (3) 创建 一 个 社工 模板 。 要 进行 邮件 
式 钓鱼 攻击 ,选择 第 一 个 选项 。 第 二 个 选项 用 于 创建 一 个 恶意 的 PDF 或 其 他 文件 ,以 备 作 


四 诸葛 建 伟 ,王府 , 孙 松柏 Metasploit 渗透 测试 指南 . 北京 : 电子 工业 出 版 社 ,2013 
回 ” 陈 雪 斌 , 赵 见 星 , 莫 凡 . BackTrack 4: 利用 渗透 测试 保证 系统 安全 . 北京: 机 械 工业 出 版 社 ,2012 


The Sociat- Engineer Toolkit is a product of TrustedSec, 


图 7.98 社工 包 


为 邮件 附件 发 


第 三 个 选项 用 于 创建 模板 。 


雪夫 二 妇 雪 业 二 有 


ustom Writter 
ustom Writt 


Embedded E 
t PDF R v4. 
ickTime PIC 


99 后门 漏洞 的 重 现 步骤 一 
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在 “社工 包 ” 中 发 起 攻击 十 分 简便 ,只 需 选 择 正确 的 菜单 选项 然后 单 击 启 动 。 如 果 想 发 
动 邮件 攻击 ,向 受害 者 发 送 伪 装 成 技术 报告 的 恶意 PDF 文件 ,选择 选项 (1)。 

接 下 来 ,“ 社 工 包 ”工具 包 会 给 出 许多 攻击 模板 ,其 中 包括 微软 .Adobe、Foxit 等 多 家 公 
司 的 软件 漏洞 。 可 以 根据 自己 需要 , 任 选 一 个 即 可 。 

在 选择 完 所 使 用 的 漏洞 模板 后 ,下 一 步 就 需要 选择 要 漏洞 模板 所 要 包含 的 攻击 代码 ,这 个 
过 程 类 似 于 MSF 生成 漏洞 攻击 样本 的 过 程 。 该 过 程 生成 的 样本 位 于 src/ program_junk 目录 
下 ,默认 文件 名 为 Template ,如 图 7. 100 所 示 ,也 可 以 在 接 下 来 步骤 中 ,对 其 进行 重 命名 。 


program Junk ~ File Browser 


矶 root 
国 Desktop 
嫩 Tash 

Devices 
和 file system 


payload.options 


下 Foppy Drive 
Network - 
a Entire network 


“template tf" will be copled if you select the Paste command So— 4 


图 7.100 后 门 漏洞 的 重 现 步骤 二 


接 下 来 就 是 选择 邮件 发 送 的 方式 添加 之 前 配置 好 的 模板 .输入 需要 攻击 的 邮箱 以 及 发 送 者 
邮箱 等 。 当 然 , 也 可 以 直接 将 攻击 样本 复制 到 Windows 上 ,以 附件 形式 手动 发 送 , 如 图 7. 101 
所 示 。 


支持 所 省 邮箱 


由 n 答 直 路 i 


图 7.101 后 门 漏洞 的 重 现 步骤 三 
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邮件 发 送 之 后 


PDF 文件 ,监听 器 就 会 执行 


“社工 包 ” 会 创建 


-个 网 络 监听 器 等 待 目 标 打开 文件 。 
代码 ,让 攻击 者 得 以 进入 受害 者 的 计算 机 中 。 


- 且 目 标 单 击 了 


显示 有 情况 正在 发 


该 种 攻击 是 一 个 破坏 性 很 强 的 攻击 ,因为 它 利用 了 客户 端 软 件 的 漏洞 ,这 种 以 软件 漏洞 
作为 载体 的 邮件 攻击 方式 ,隐蔽 性 较 高 。 在 大 多 数 情 况 下 ,屏幕 上 不 会 
生 。 ,这 只 是 应 用 “ 社 可 以 发 动 的 众多 攻击 中 的 一 种 。 


3. 网 站 钓鱼 攻击 


“社工 包 ” 可 
多 种 方式 诱 使 


仅仅 对 网 址 进行 


便 可 以 发 动 多 种 
要 在 “社工 


以 很 容易 地 
嫌疑 人 访 上 
微 的 修改 


网 站 。 


钓鱼 攻击 。 这 种 攻击 类 型 的 强大 之 处 在 
装 成 更 新 网 站 
1 或 删除 一 个 字母 )。 一 旦 有 人 访问 了 对 


侦查 人 员 既 可 以 伪 妆 


不 同 的 攻击 ,包括 信息 收集 、 证 书 收集 和 直接 入 侵 等 


包 ” 中 运行 此 攻击 


可 从 


单 中 选择 选项 (2)( 网 站 攻击 ) 


于 可 以 让 侦查 人 员 
的 开发 者 ,也 可 以 
镀 网 站 ,社工 人 员 


,可 以 看 到 以 下 几 个 


选项 : 


(1)Java Applet 攻击 方法 ,(2)Metasploit 浏览 器 的 入 侵 模 式 ,(3) 证 书 获取 的 攻击 方 


式 ,(4) 标 签 绑架 攻击 方法 ,(5) 中 间 人 攻击 方式 ,(6) 回 到 前 面 的 菜单 。 其 中 ,选项 
Java Applet 攻击 会 在 用 户 界面 上 弹出 一 个 Java 安全 警告 , 称 该 网 站 已 被 ABC 公司 签名 


并 让 用 户 同意 这 一 警告 
进行 这 种 攻击 , 先 选择 选项 1, 然 后 选择 选项 


所 示 。 
5) Web Jacking Attack Method 
6) MuLti- Attack Web Method 
7) Full Screen Attack Method 
99) Return to Main Menu 
; webattack>1 


The first method will “allow SET to import a list of pre- defined web 
applications that it can utilize within the attack. 


The second method 1 completely clone a website of your choosing 
and allow you to ut e the attack vectors within the completely 


same web application you were attempting to ‘clone. 


The third method allows you to import your own website, note that you 
should only have an index.html when using the import website 
functionality. 


1) Web Templates 
2) Site Cloner 
3) Custom Import 


99) Return to Webattack Menu 


图 7.102 网 站 钓鱼 攻击 步骤 一 


i 2 一 一 网 站 克隆 (Site Cloner)， 
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接 下 来 ,可 以 根据 需要 克隆 的 站 点 ,填写 一 些 数据 信息 并 在 最 后 选择 yes, 然 后 根据 本 
作 需 要 选择 一 个 合适 的 攻击 方式 ,如 图 7. 103 所 示 。 


hat payload do you want to generate: 
Name: Description: 


1) Windows Shell Reverse_TCP pawn a command shell on victim and sen 
H back to attacker 

2) Windows Reverse_TCP Meterpreter Spawn a meterpreter shell on victim and 
send back to attacker 

3) Windows Reverse_TCP VNC DLL VNC server on victim and send b 


4) Windows Bind Shell ec payload and create an accepting 
port on remote system 
5) windows Bind Shell X64 Windows x64 Command Shell, Bind TCP Inl 
ne 
6) Windows Shell Reverse_TCP X64 Windows X64 Command Shel Reverse TCP 
nline 
7) Windows Meterpreter Reverse_TCP X64 Connect back to the attacker (Windows x 
64), Meterpreter 
8) Windows Meterpreter All Ports Spawn a meterpreter shell and find a po 
rt home (every port) 
9) Windows Meterpreter Reverse HTTPS Tunnel communication over HTTP using SS 
and Use Meterpreter 
10) Windows Meterpreter Reverse DNS Use a hostname instead of an IP address 
and spawn Meterpreter 
1) SE Toolkit Interactive Shell Custom interactive reverse toolkit desi 
ned for SET 
SE Toolkit HTTP Reverse Shell Purely native HTTP shell with AES encry 
support 
RATTE HTTP Tunneling Payload curity bypass payload that will tunne 
comms over HTTP 
ShellCodeExec Alphanum Shellcode This will drop a meterpreter payload th 
shellcodee. 
This will drop a mete eter payload th 


MultiPyInjector Shellcode Injection This will drop multiplea Metasploit payl 
ads via memory 
17) Import your own utable Specify a path for your own executable 


lo0ads>2 


图 7.103 网 站 钓鱼 攻击 步骤 


选择 相应 的 加 密 、 加 壳 方 式 ,每 个 选项 后 的 括号 内 给 出 了 相应 等 级 ,在 此 选择 最 好 的 
(BEST)。 随 后 .“ 社 工 包 ”工具 包 就 会 按照 配置 的 要 求 ,自动 生成 钓鱼 界面 和 相应 链接 ,并 
随后 自动 进入 监听 模式 ,等 待 目 标 访问 ,如 图 7.104 所 示 
至 此 ,一 个 克隆 的 钓鱼 界面 已 全 部 生成 完毕 。 ls 工作 中 ,可 以 根据 工作 需要 伪造 相 
页 面 ,例如 百度 等 。 这 种 网 页 钓鱼 ,可 以 结合 之 前 “后 门 漏洞 攻击 ?和 DNS 欺骗 性 十 
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文件 四 ” 轧 缉 四 ”可 看 W) 收藏 和 工具 中) 帮助 呈 了 


四 与 四 ET 用 时 闪 大 让- 你 国 总 


下 机 http /92165.2.131/ 


Bai 儿 百度 


把 百度 设 为 主页 。 关于 百度 About Baidu 
四 2014 Baidu 使 用 百度 前 必 读 京 ICP 证 030173 号 合 


图 7.104 网 站 钓鱼 攻击 步骤 三 


7.11 恶意 软件 的 逆向 分 析 技 术 


近 几 十 年 ,由 于 系统 和 软件 的 各 种 漏洞 ,以 及 人 们 防范 意识 不 强 , 木 马 和 病毒 大 肆 传 播 ， 
破坏 系统 ,盗窃 资金 和 数据 ,甚至 于 危及 国家 安全 。 据 不 完全 统计 , 近 十 年 ,我 国 由 于 恶意 软 
件 而 造成 的 直接 和 间接 经 济 损失 达到 数 千 亿 元 人 民 币 。 各 类 涉及 恶意 软件 的 案件 也 层 出 不 
穷 , 侦 查 形势 需要 侦查 人 员 必 须 掌握 恶意 软件 的 逆向 技术 ,才能 获取 恶意 软件 的 内 部 信息 。 
本 节 从 动态 和 静态 两 个 方面 ,以 计算 机 和 手机 的 恶意 软件 为 例 介绍 逆向 分 析 的 原理 和 技术 。 


7.11.1 悉 意 软件 概述 


根据 官方 统计 中 ,2014 年 我 国 计 算 机 病毒 感染 率 为 63.7% , 比 2013 年 上 升 了 8. 8%。 
在 新 增 的 恶意 软件 中 ,木马 占 54.7%, 紧 随 其 后 的 是 后 门 和 间谍 软件 。2014 年 以 来 ,恶意 软 
件 的 特点 发 生 了 鲜明 的 变化 ,并 不 以 大 范围 破坏 文件 、 造 成 拥堵 网 络 为 目的 ,而 是 瞄准 受害 
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者 的 资金 账户 和 私密 信息 ,它们 通常 以 窃取 攻击 目标 的 账户 密码 为 目的 ,并 通过 多 种 途径 获 
取经 济 利益 。 

在 侵害 对 象 上 ,网 上 银行 、 网 络 支 付 等 是 恶意 软件 的 主要 攻击 目标 ,在 盗 取 钱财 的 同时 ， 
不 法 分 子 还 会 窃取 用 户 的 私密 信息 。 在 高 额 经 济 回报 的 驱动 下 ,犯罪 分 子 利用 先进 的 木马 
技术 ,攻击 金融 机 构 ,在 全 球 范围 内 从 事 大 规模 金融 诈骗 和 盗窃 活动 。 网 上 银行 的 业务 通过 
浏览 器 来 实现 ,因此 浏览 器 也 成 为 了 当前 网 银 木 马 的 主要 攻击 目标 ,通过 Web 注入 的 方式 
操控 浏览 器 ,并 辅 以 社会 工程 学 ,仍然 是 非常 有 效 的 攻击 方法 。 除 传统 的 安全 事件 外 ,主动 
发 送 木 马 进 行 钓 鱼 . 诈 骗 和 敲诈 勒索 事件 也 频繁 发 生 。 因 此 ,针对 恶意 软件 的 分 析 , 是 网 络 
犯罪 侦查 面临 的 新 趋势 ,也 是 新 难点 。 

恶意 软件 广义 上 是 指 在 用 户 的 系统 中 执行 恶意 行为 ,影响 系统 的 正常 应 用 和 数据 完整 
性 的 程序 。 具 体 来 说 ,包括 木马 、 病 毒 . 肾 虫 .恶意 代码 等 。 


7.11.2 恶意 软件 的 特点 


尽管 恶意 软件 的 类 型 多 样 ,危害 不 尽 相同 ,但 是 它们 都 具有 以 下 特点 。 
1. 具有 传播 性 
恶意 软件 具有 通过 不 同 媒介 传播 自身 的 能 力 , 利 用 系统 漏洞 和 使 用 者 的 不 谨慎 ,达到 迅 


速 传播 的 目的 。 

2， 具有 破坏 性 

恶意 软件 具有 破坏 文件 和 计算 机 操作 的 能 力 。 例 如 ,删除 关键 系统 文件 ,导致 系统 崩溃 
并 且 无 法 重新 启动 ; 加 密 所 有 文件 ,不 能 正常 访问 。 

3. 行为 隐蔽 性 


恶意 软件 具有 对 用 户 隐藏 其 行为 的 能 力 。 恶 意 软 件 为 了 达到 非法 目的 ,不 断 采取 新 的 
技术 ,采用 隐藏 其 进程 ,文件 和 修改 注册 表 等 多 种 方式 来 隐藏 行踪 ,试图 突破 和 绕 过 各 种 网 
络 安 全 防线 ,这 些 行为 使 检测 恶意 软件 变 得 非常 困难 。 

4. 从 事 未 授权 的 行为 

恶意 软件 的 最 终 目 的 是 为 了 获取 用 户 数据 和 控制 设备 ,因此 具有 在 用 户 不 知情 的 情况 
下 执行 操作 的 能 力 。 例 如 ,在 用 户 不 知情 的 情况 下 发 送 电子 邮件 、 窃 取 用 户 资料 。 


7.11.3 恶意 软件 的 主要 类 型 


恶意 软件 的 种 类 多 样 , 据 不 完全 统计 .2014 年 全 年 新 发 现 的 电脑 病毒 数量 达到 1. 35 亿 
个 ,木马 的 数量 更 是 无 可 计数 ,变种 繁多 。 恶 意 软 件 按 照 功能 和 目的 的 不 同 ,主要 分 为 以 下 
类 型 。 

1. 感染 型 病毒 

病毒 是 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 影响 计算 机 使 用 ,并 能 自 
我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 病 毒 的 主要 特征 包括 传播 性 、 隐 项 性 .感染 性 、 潜 


304 网 络 犯 罪 侦查 


伏 性 、 可 激发 性 、 表 现 性 或 破坏 性 ,通常 表现 两 种 以 上 所 述 的 特征 就 可 以 认定 该 程序 是 病毒 。 
随 着 移动 设备 的 出 现 , 病 毒 也 不 仅仅 局 限于 Windows、Linux 平台 ,也 开始 向 iOS 和 
Android 平台 侵袭 。 病 毒 曾经 是 占 比 第 一 的 恶意 软件 , 随 着 恶意 软件 目的 性 的 增强 ,已 经 ; 
步 让 位 于 木马 ,如 图 7.105 所 示 。 


计算 机 病毒 感染 率 
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图 7.105 历年 来 计算 机 病毒 的 感染 率 


2. 特洛伊 木马 

木马 (Trojan) ,恶意 软 件 的 一 类 ,是 指 通 过 伪装 欺骗 的 方法 诱 使 用 户 激活 ,可 受 外 部 用 
户 控 制 以 窃取 本 机 信息 或 者 控制 权 的 程序 。 木 马 程序 多 数 有 恶意 企图 ,例如 盗 取 QQ 账号 、 
游戏 账号 甚至 银行 账号 ,将 本 机 作为 工具 来 攻击 其 他 设备 等 。 木 马 相关 犯罪 已 经 成 为 一 种 
典型 网 络 犯罪 类 型 ,拥有 完整 的 利益 链条 。 如 表 7. 25 所 示 。 


表 7.25 木马 常见 的 利益 获取 方式 


种 类 获 利 方式 
1. 窃取 关键 信息 和 数据 进行 倒卖 
远 控 类 2. 将 受害 机 器 作为 僵尸 网 络 的 组 成 部 分 
3. 或 者 作为 侵 财 的 第 一 步 
盗号 类 窃取 虚拟 财产 ,或 者 盗号 后 进行 诈骗 
Webshell 类 用 作 控 制 网 站 的 后 门 以 及 服务 器 提 权 的 跳板 
算 改 破坏 类 算 改 本 机 主页 .或 者 不 断 弹 出 网 页 ,迫使 受害 人 访问 恶意 网 站 ,通过 流量 牟利 


木马 的 感染 方式 有 两 种 : 一 种 是 通过 社会 工程 的 方式 进行 单 点 攻击 ,将 木马 以 图 片 、 邮 
件 附 件 等 方式 发 送 给 受害 人 , 诱 使 受害 人 点 击 , 进 而 控制 受害 人 的 电脑 进行 下 一 步 的 行动 ; 
另 一 种 是 通过 网 页 挂 马 、 群 发 邮件 等 方式 大 规模 传播 木马 ,这 是 一 种 广 撤 网 的 方式 ,一 般 次 
号 木马 或 者 远 控 木 马 都 采取 这 种 方式 以 获得 最 大 的 利益 。 
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3. 蠕虫 
蠕虫 (Worm) 指 可 以 通过 网 络 等 途径 将 自身 的 全 部 代码 或 部 分 代码 通过 网 络 复制 、 传 
播 给 其 他 的 网 络 节点 的 程序 。 与 具备 感染 性 的 病毒 不 同 ,蠕虫 并 不 需要 将 自身 附加 到 宿主 
序 , 传 播 过 程 通常 是 通过 网 络 或 者 邮件 附件 来 进行 ,例如 ,利用 如 MS Outlook 之 类 的 由 
件 客户 端 通过 邮件 传播 ,也 可 能 将 一 个 副本 释放 到 共享 目录 或 者 利用 文件 共享 系统 ,因为 用 
户 很 可 能 会 下 载 这 些 文 件 , 所 以 蠕虫 以 此 来 进行 传播 。 在 某 些 案例 中 ,蠕虫 也 可 以 利用 如 
QQ 之 类 的 聊天 工具 来 传播 ,如 图 7. 106 所 示 。 


因 Be 多 


电子 邮件 
本 
可 移动 磁盘 
< Ef = 
和 润 汕 用 
点 对 点 共享 社交 网 络 


图 7.106 蠕虫 的 传播 途径 


4. 恶意 脚本 

脚本 类 病毒 通常 是 用 脚本 型 代码 (例如 JavaScript) 编写 的 恶意 代码 ,它们 利用 
Windows 系统 的 开放 性 特点 ,通过 调用 Windows 对 象 .组 件 , 可 以 直接 对 文件 系统 .注册 表 
等 进行 控制 。 很 多 脚本 类 病毒 带 有 广告 性 质 ,会 修改 IE 首页 .修改 注册 表 等 信息 。 

5. 复合 型 恶意 软件 

体现 出 不 同 恶 意 软件 混合 行为 的 恶意 软件 称 为 复合 型 恶意 软件 。 此 种 类 型 的 恶意 软件 
是 最 常见 的 恶意 软件 类 型 ,危害 极 大 , 极 难 清除 。 

复合 型 恶意 软件 的 特征 : 

(1) 使 用 了 多 种 感染 方法 来 感染 计算 机 。 

(2) 利用 了 多 种 传播 手法 .比如 邮件 .即时 通讯 工具 、 移 动 存储 介质 等 。 

(3) 广泛 使 用 了 Rootkit 隐藏 技术 .后门 的 控制 功能 .下 载 /释放 其 他 文件 作为 辅助 的 木 
马 行为 。 

(4) 主要 动机 是 获取 系统 的 完全 控制 .目的 是 将 感染 系统 作为 一 个 大 型 感染 网 络 的 一 
部 分 .从 系统 中 窃取 敏感 数据 .在 网 络 中 建立 多 个 再 感染 点 。 

(5) 采取 多 种 隐藏 和 人 免 杀 方法 .防止 被 系统 中 的 杀毒 检测 和 移 除 。 
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7.11.4 恶意 软件 的 运行 机 制 


恶意 软件 从 开发 时 ,就 被 开发 者 按照 某 些 特定 的 目的 来 进行 代码 编写 ,具有 一 定 的 运行 
机 制 。 侦 查 人 员 必 须 了 解 恶意 软件 的 运行 机 制 ,才能 有 针对 性 地 进行 道 向 分 析 。 下 面 以 
Windows 系统 为 例 , 介 绍 恶 意 软 件 的 运行 机 制 。 

1. 恶意 软件 的 文件 释放 

任何 恶意 软件 ,在 运行 的 时 候 都 要 释放 出 文件 ,以 完成 具体 的 操作 。 恶 意 软 件 主要 会 释 
放 以 下 文件 : 

1) 恶意 软件 的 副本 

副本 是 恶意 软件 的 一 部 分 或 者 变化 形式 。 副 本 使 得 恶意 软件 可 以 伪装 自己 ,在 下 次 执 
行 时 变 得 不 易 被 发 现 。 副 本 具有 以 下 作用 : 

(1) 可 以 在 系统 启动 时 运行 。 通常 ,恶意 软件 将 自己 的 一 个 副本 释放 到 特定 的 目录 
(Windows、System32), 并 使 用 和 系统 文件 很 相似 的 文件 名 作为 防止 被 移 除 的 附加 措施 。 
用 户 一 般 会 因为 害怕 操作 这 些 文件 导致 系统 损坏 而 犹 移 。 这 些 副本 配合 对 应 的 注册 表 项 
目 , 使 系统 每 次 启动 时 ,恶意 软件 能 够 被 运行 。 

(2) 在 特定 的 触发 条 件 下 被 执行 。 恶 意 软件 也 可 以 释放 当 满足 某 些 条 件 时 会 被 执行 的 
副本 。 举 例 来 说 ,一 个 恶意 软件 将 自身 副本 释放 到 可 移动 磁盘 中 ,并 配合 对 应 的 
AUTORUN. INF 文件 ,这 使 得 恶意 软件 在 移动 存储 被 插 到 未 受 保护 的 系统 时 自动 执行 。 

(3) 可 以 发 送 到 其 他 系统 来 进行 传播 。 蠕 虫 经 常 释放 自己 的 有 诱 人 文件 名 的 副本 , 引 
诱 用 户 执行 (如 : 游戏 破解 软件 .新 的 安装 包 、 安 全 补丁 等 )。 它 们 甚至 可 能 将 这 些 文件 用 加 
密封 装 来 应 对 邮件 防护 系统 。 

(4) 提供 恶意 软件 的 多 个 副本 ,保证 更 高 的 重复 感染 率 。 多 数 复 合 型 恶意 软件 利用 了 
多 种 方法 来 进入 系统 (漏洞 .邮件 .恶意 URL 等 ) 。 这 些 类 型 的 恶意 软件 也 会 通过 释放 多 个 
副本 来 保证 ,一 旦 系统 没有 被 全 面 地 清除 ,其 中 一 个 副本 可 以 再 次 感染 整个 系统 。 

2) 恶意 软件 的 组 件 

组 件 是 协助 恶意 软件 进行 其 恶意 活动 的 其 他 文件 。 恶 意 软件 需要 先 安装 其 他 组 件 到 系 
统 中 ,使 它 的 过 程 可 以 正确 执行 。 这 些 组 件 可 能 是 正常 的 应 用 .系统 文件 或 者 是 该 恶意 软件 
私有 组 件 。 例 如 ,蠕虫 需要 安装 它 自 己 的 网 络 组 件 ,用 于 发 现 网 络 上 的 其 他 计算 机 ,并 通过 
网 络 共 享 传播 。 恶 意 软 件 可 能 包含 Rootkit 组 件 ,Rootkit 的 主要 功能 是 隐藏 恶意 软件 的 踪 
迹 。 这 给 恶意 软件 提供 了 一 层 额 外 的 保护 ,使 其 更 难 从 系统 中 被 检测 和 移 除 。 

3) 其 他 恶意 软件 

恶意 软件 还 善于 利用 其 他 的 恶意 软件 来 为 已 所 用 。 恶 意 软件 一 般 使 用 下 载 器 来 实现 这 
一 功能 。 下 载 器 通常 只 是 下 载 其 他 恶意 软件 到 系统 中 并 执行 。 下 载 器 相对 于 直接 释放 的 好 
处 不 需要 在 代码 中 包含 要 释放 的 恶意 软件 (释放 器 ) .所 以 通常 会 比 释放 器 更 小 而 且 不 易 被 
安全 软件 发 现 。 相 对 地 .下载 器 在 释放 其 他 恶意 软件 前 ,需要 活动 的 互联 网 连接 。 
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恶意 软件 释放 文件 并 非 没 有 规律 ,其 机 制 与 计算 机 运行 机 制 密切 相关 ,释放 文件 的 常见 
位 置 有 如 下 几 种 。 

(1) 恶意 软件 释放 副本 的 常见 位 置 如 下 : 

。 Windows 安装 目录 (%windir%)。 

。 Windows 系统 目录 (%systemroot%)。 

。 Windows 临时 目录 (%temp%)。 

。 当前 目录 。 

。 根 目录 (如 : C:\ D:\)。 

。 启动 文件 夹 。 

(2) 恶意 软件 也 可 能 会 释放 副本 到 以 下 文件 夹 ,来 进行 网 络 传 播 : 

。 共享 文件 夹 。 

。 点 对 地 应 用 共享 文件 夹 (如 Kazaa、Emule)。 

有 些 恶 意 软件 也 会 使 用 某 些 隐藏 技术 ,将 副本 释放 到 回收 站 。 这 是 为 了 让 用 户 产 生 一 
种 错觉 , 误 以 为 恶意 软件 不 能 从 这 个 位 置 被 执行 。 

2. 恶意 进程 驻 留 内 在 

将 副本 释放 到 系统 中 后 ,大 部 分 恶意 软件 希望 当 计算 机 在 运行 时 , 尽 可 能 地 驻 留 在 内 存 
中 ,主要 有 以 下 目的 : 

。 保护 恶 意 软件 不 被 删除 。 当 一 个 程序 在 内 存 中 运行 时 ,可 执行 文件 会 被 锁定 ,禁止 

编辑 和 /或 删除 。 因 此 恶意 软件 只 要 保证 自己 在 内 存 中 运行 ,就 可 以 防止 被 删除 。 

。 保持 其 他 感染 对 象 的 持续 性 (文件 ,注册 表 )。 只 要 恶意 软件 在 内 存 中 运行 , 它 可 以 
持续 地 检查 它 的 其 他 组 件 ( 组 件 文件 .注册 表 ) 是 否 存 在 。 如 果 不 存在 (用 户 或 者 反 
病毒 应 用 移 除 了 组 件 ) , 它 可 以 再 次 写 回 去 。 

使 恶意 软件 可 以 通过 监控 用 户 输入 设备 进行 信息 窃取 ,信息 窃取 类 恶意 软件 通常 监 
控 用 户 的 计算 并 在 特定 时 间 ( 如 在 线 银行 会 话 ) 或 无 目的 地 窃取 信息 。 恶 意 软 件 驻 
留 在 内 存 中 还 可 以 监控 用 户 的 按键 和 网 页 会 话 。 

。 通过 禁止 运行 诊断 和 反 病 毒 工具 来 防止 恶意 软件 被 移 除 。 恶 意 软件 已 经 在 内 存 中 

运行 , 它 可 以 监控 所 有 执行 的 进程 并 终止 那些 诊断 和 安全 软件 。 

3. 自 局 动机 制 

自 启动 机 制 被 恶意 软件 使 用 ,确保 释放 的 文件 每 次 在 Windows 启动 时 都 会 被 执行 。 下 
面 是 常见 的 自 启动 机 制 。 

1) Windows 启动 文件 夹 

表 7.26 列 出 了 Windows 中 的 一 些 特殊 文件 夹 。 当 用 户 将 一 个 执行 文件 或 者 执行 文件 
的 快捷 方式 放 到 这 个 目录 中 ,这 些 文件 会 在 每 次 Windows 启动 时 被 执行 。 
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表 7.26 Windows 启动 文件 来 


名 称 启动 文件 夹 路 径 
用 户 默 认 C:\Windows\All Users\Start Menu\Programs\StartUp 
Windows 9x/ME C:\windows\start menu\programs\startup 
Windows C:\Documents and Settings\ 用 户 名 \Start Menu\Programs\Startup 
XP/2000 C:\Documents and Settings\All Users\Start Menu\Programs\Startup 
C:\Users\ 用 户 名 \ AppData\Roaming\ Microsoft\ Windows\Start Menu\Programs 
Windows7/10 (it 


2) 注册 表 自 启动 项 

早期 的 Windows 利用 WIN. INI 和 SYSTEM. INI 来 配置 自 启动 ,二 者 在 Windows 
NT/XP 后 系统 中 不 再 使 用 ,但 是 被 替换 为 以 下 注册 表 : 

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows] 

= 

这 个 注册 表 键 包含 两 个 REG_SZ 项 目 : run 和 load。 

HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 
\Winlogon 中 查询 shell 注册 表 值 来 确定 作为 外 壳 被 加 载 的 执行 文件 的 名 字 。 

该 键 值 应 该 默认 为 Explorer. exe。Explorer. exe 在 系统 启动 时 ,是 从 根 目录 开始 搜索 ， 
并 且 在 C:\Windows\explorer. exe 处 结束 的 。 如 果 恶 意 软件 被 命名 为 explorer. exe, 并 且 
放 到 了 根 目 录 , 这 个 文件 会 在 启动 时 被 执行 ,而 不 需要 修改 任何 启动 文件 。 并 且 它 可 以 在 之 
后 执行 真正 的 explorer. exe, 从 而 不 引起 用 户 的 注意 。 

除 此 之 外 ,注册 表 中 还 有 众多 的 地 方 可 以 定义 自 启动 项 ,需要 在 检查 的 时 候 详细 分 析 ， 

3) AUTORUN. INF 自 启动 

AutoRun 和 对 应 的 自动 播放 特性 是 Windows 操作 系统 用 于 指定 当 磁 盘 驱 动 器 加 载 时 
进行 何 种 动作 的 组 件 , 如 图 7. 107 所 示 。 

AutoRun 被 引入 到 Windows 中 是 为 了 让 缺乏 技术 的 用 户 更 容易 安装 应 用 程序 ,例如 
当 一 个 光盘 或 者 U 盘 插 入 时 , Windows 检测 到 该 动作 并 从 执行 AUTORUN. INF 中 的 指 
令 。 这 个 特性 直接 被 恶意 软件 利用 作为 自 启动 的 手法 。 

4. 清除 痕迹 

高 级 的 恶意 软件 ,为 了 防止 被 发 现 ,往往 在 任务 完成 后 ,删除 所 有 释放 的 文件 ,并 
统 的 使 用 痕迹 。 这 种 情况 下 ,可 以 使 用 数据 恢复 技术 来 进行 恢复 。 


7.11.5 恶意 软件 的 送 向 分 析 概述 
恶意 软件 的 制作 者 具有 相对 高 超 的 计算 机 专业 水 平 ,代码 复杂 ,分 析 难度 大 。 对 恶意 软 


坟 
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肝 音乐 DSysten Volune Infornation 


open=hack. exe 
shellexecute=hack. exe 


shell\Auto\command=hack. exe 
shell=Auto 


< 


图 7.107 AutoRun 自动 播放 


件 进行 分 析 主 要 依赖 于 “逆向 技术 ”, 也 称 为 * 反 编译 ”技术 。 恶 意 代码 的 北向 分 析 , 是 每 个 侦 
查 人 员 不 可 回避 的 工作 ,尽管 难度 很 大 ,但 是 在 新 的 斗争 形势 下 ,侦查 人 员 应 当 掌 握 基 本 的 
逆向 分 析 技 术 。 

逆向 分 析 技 术 又 称 为 逆向 工程 (reverse engineering)。 原 本 是 针对 一 项 目标 产品 进行 
北向 分 析 及 研究 ,从 而 演绎 并 得 出 该 产品 的 处 理 流程 .组织 结 构 、 功 能 特性 及 技术 规格 等 设 
计 要 素 。 现 在 引申 到 网 络 犯 罪 侦 查 中 ,是 指针 对 恶意 软件 ,运用 反 汇编 .解密 、 代 码 重 构 等 多 
种 计算 机 技术 ,对 恶意 软件 的 结构 .流程 .算法 .代码 等 进行 回溯 ,推导 出 其 源 代码 .设计 原 
理 、 运 行 机 制 及 相关 文档 等 的 技术 。 

恶意 软件 逆向 分 析 , 基 本 遵循 以 下 流程 ?: 

(1) 去 除 软件 保护 功能 。 某 些 恶 意 软件 ,为 了 逃避 打击 ,采用 如 序列 号 保护 .加 密 锁 、 反 
调试 、 加 这 等 技术 对 软件 进行 保护 。 要 想 对 这 类 恶意 软件 进行 逆向 ,首先 要 判断 出 软件 的 保 
护 方法 ,然后 去 详细 分 析 其 保护 代码 ,在 掌握 其 运行 机 制 后 去 除 软 件 的 保护 。 

(2) 反 汇 编 恶 意 软 件 。 在 去 除了 目标 软件 的 保护 后 , 接 下 来 就 是 运用 反 汇 编 工具 对 可 
执行 程序 进行 反 汇编 。 反 汇编 (Diasssembly) 是 把 目标 代码 转 为 汇编 代码 的 过 程 ,把 机 器 语 
言 转换 为 汇编 语言 代码 、 由 低级 语言 变 为 高 级 语言 ,提高 可 读 性 。 


中 看 雪 论 坛 : 软件 逆向 的 渊源 ,作者 : hacker 一 广 人 和 。 
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(3) 跟踪 、 分 析 代码 功能 。 在 反 汇 编 的 基础 上 ,动态 调试 与 静态 分 析 相 结合 ,跟踪 、 分 析 
软件 的 核心 代码 ,理解 软件 的 设计 思路 等 ,获取 关键 信息 

(4) 向 恶意 软件 的 可 执行 程序 中 注入 代码 ， 对 其 进行 监控 和 嗅 探 ， 以 达到 进一步 侦查 的 
目的 。 

逆向 分 析 技 术 主要 分 为 两 类 : 静态 分 析 , 通 过 查看 文件 属性 获取 信息 , 脱 壳 反 编译 恶意 
软件 ,从 源 代码 中 提取 信息 ; 动态 分 析 , 在 恶意 软件 的 运行 过 程 监视 .提取 信息 。 

恶意 软件 逆向 分 析 可 以 让 侦查 人 员 了 解 恶意 软件 的 结构 以 及 程序 的 逻辑 ,深入 洞察 程 
序 的 运行 过 程 , 分 析出 软件 使 用 的 协议 及 通信 方式 ,查找 到 编写 人 或 者 使 用 人 的 信息 等 。 因 
此 逆向 分 析 在 侦查 上 的 必要 性 是 显而易见 的 


7.11.6 恶意 软件 的 查找 


恶意 软件 的 隐蔽 性 强 ,只 有 通过 耐心 细致 的 查找 ,才能 对 其 定位 。 查 找 的 主要 步骤 
如 下 : 

第 一 步 ,观察 系统 表现 出 的 可 疑 行为 ,以 下 特征 表明 恶意 软件 的 可 疑 行 为 : 

。 在 用 户 没有 执行 的 情况 下 执行 其 他 应 用 程序 ; 

。 系统 突然 变 慢 、 关 机 或 重启 ; 

。 系统 中 出 现 不 明文 件 、 可 移动 媒介 中 存在 隐藏 文件 。 

第 二 步 , 观 察 进程 列表 ,可 以 通过 观察 任务 管理 器 中 的 下 面 两 个 字段 来 识别 恶意 进程 ; 
进程 名 和 用 户 名 (进程 所 有 者 ), 可 以 利用 任务 管理 器 或 者 Process Explorer 之 类 的 第 三 方 
工具 ,获取 与 可 疑 进程 相关 的 所 有 文件 路 径 , 如 图 7. 108 所 示 。 

第 三 步 ,观察 自 启动 列表 。 

使 用 Regedit. exe 通过 常用 的 自 启动 注册 表 列 表 来 识别 可 疑 文 件 , 并 定位 可 疑 文 件 的 
位 置 对 其 进行 分 析 。 

第 四 步 ,识别 隐藏 文件 。 

将 资源 管理 器 设置 成 显示 所 有 隐藏 和 系统 文件 ,利用 Rootkit Buster.GMER 等 工具 查 
找 Rootkit 文件 。 利 用 这 些 工 具 的 文件 复制 功能 来 获取 可 疑 文件 的 副本 并 进行 分 析 。 

恶意 软件 通常 没有 版 本 信息 或 有 不 完整 的 信息 。 有 些 情况 恶意 软件 会 伪造 完整 的 文件 
信息 ,有 的 恶意 软件 样本 ,甚至 伪造 数字 签名 ,这 些 需 要 额外 的 验证 和 分 析 。 

第 五 步 ,逆向 分 析 可 疑 文 件 。 

在 测试 环境 中 进行 动态 分 析 , 执 行 可 疑 文 件 ,观察 可 疑 文件 的 行为 并 和 在 原 感 染 系 统 中 
观察 到 的 可 疑 行为 进行 比较 ,并 识别 恶意 软件 的 其 他 行为 。 随 后 可 以 进行 静态 分 析 , 以 查找 
内 嵌 在 代码 中 的 信息 。 


7.11.7 计算 机 恶意 软件 动态 分 析 
恶意 软件 动态 分 析 , 是 指 在 应 用 程序 的 运行 过 程 中 监视 进程 ,提取 数据 ,通过 与 恶意 软 
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师 人 管理 器 一 口 谍 
文件 四 ”选项 (QO) 查看 WW 

进程 性 能 应 用 历史 记录 ”启动 ”用户 ”详细 信息 服务 

= pp “状态 用 户 各 CPU 内存 ( 专 用. 
医 Acrobatexe 7908 ”正在 运行 太阳 风 00 52,880 K Adobe Acrobat | 
acrotray.exe 10792 ”正在 运行 太阳 风 00 T12K AcroTray 
国 AliApp.exe 11724 ”正在 运行 太阳 风 00 16716K AliAppexe 
和 AlilM.exe 12824 ”正在 运行 太阳 风 00 13,848 K AliWangWang 
国 aliwssvexe 8708 正在 运行 A 00 1120 K Alipay Security Ser... 
国 AppleMobileDevic.。 2856 。 正在 运行 SYSTEM 00 3.184 K MobileDeviceServi... 
国 ApplePhotoStream..，9568 ”正在 运行 太阳 风 00 9,944 K iCloud Photos 
国 ApplephotoStream.。9416 。 正在 运行 太阳 风 00 5.944K iCloud Photos Do... 
国 ApplicationFrameH.。5192 。 正在 运行 太阳 风 00 7,932 K Application Frame.. 
国 APSDaemonexe ”2416 ”正在 运行 BE 风 00 3.640K Apple Push 
口 armsvcexe 2848 。 正在 运行 SYSTEM 00 688 K Adobe Acrobat U.. 
国 audiodg.exe 3684 ”正在 运行 LOCALSE. 00 4636K Windows 音频 设备 .… 
园 avgntexe 2452 。 正在 运行 太阳 风 00 2.284 K Avira system tray ... 
圆 avouardexe 2864 正在 运行 SYSTEM 00 22152K Antivirus Host Fra... 
圆 AviraserviceHoste.、3216 。 正在 运行 SYSTEM 00 22760K Avira Service Host 
圆 Avirasystrayexe 11632 正在 运行 A 00 1,840 K Avira Launcher 
圆 svshadowexe 5596 。 正在 运行 SYSTEM 00 788 K AntiVir shadow co... 
全 baiduyunexe 12952 ”正在 运行 太阳 风 00 6,348 K baiduyun 
久 bjcacertd ftil.exe ”10840 正在 运行 太阳 风 00 1,036 K certreg MFC Appli... 
国 CAJSHostexe 2944 。 正在 运行 SYSTEM 00 616 K TIKN@CAJHost 
- 生 二 一 一 -一 一 一 一 :soon rr 二 二 om ad ANA Mca 

D) 简 赔 信息 D) El 


图 7.108 使 用 任务 管理 器 查看 进程 


件 的 交互 来 获取 信息 。 由 于 恶意 软件 具有 破坏 性 ,因此 在 本 机 上 进行 分 析 是 十 分 危险 的 。 
动态 分 析 一 般 需 要 在 虚拟 机 中 进行 。 

1. 针对 文件 的 动态 分 析 

1) InstallRite 

动态 分 析 首 先是 确定 恶意 软件 释放 了 什么 文件 .修改 了 哪些 注册 表 项 和 修改 了 哪些 系 
统 配置 文件 .利用 InstallRite 工具 可 以 收集 这 类 信息 。 

在 恶意 软件 执行 前 保存 一 个 虚拟 机 的 “快照 ”, 它 可 以 通过 比较 新 的 系统 状态 和 之 前 快 
照 的 区 别 来 确定 恶意 软件 所 作 的 改动 ,InstallRite 会 对 当前 系统 进行 一 个 “快照 ”。 

首先 ,退出 其 他 正在 运行 的 应 用 程序 ,防止 InstallRite 记录 到 这 些 应 用 程序 引起 的 改 
动 , 随 后 执行 恶意 软件 ,InstallRite 会 给 出 一 个 直观 的 系统 改动 情况 ,如 图 7. 109 所 示 。 

当 查 看 InstallRite 结果 时 ,可 以 通过 以 下 方法 来 确认 可 能 的 恶意 行为 : 

(1) 增加 的 文件 。 当 查看 恶意 软件 添加 到 系统 中 的 文件 和 文件 夹 时 ,要 尽量 确定 这 些 
文件 被 创建 到 系统 中 的 原因 。 增 加 的 文件 主要 包括 以 下 几 类 : 

。 用 于 传播 和 /或 自 启动 的 恶意 软件 副本 ; 
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图 7.109 InstallRite 执行 监控 


恶意 软件 在 恶意 行为 中 使 用 的 组 件 ( 这 些 组 件 可 能 是 非 恶意 文件 ); 

。 恶意 软件 下 载 到 系统 中 的 恶意 / 非 恶意 的 组 件 ; 

。 恶意 软件 从 黑客 网 站 上 下 载 的 更 新 副本 。 

(2) 删除 的 文件 。 恶 意 软 件 通 常会 因为 以 下 原因 删除 文件 : 

。 禁用 安全 和 反 病 毒 软件 的 关键 文件 ; 

。 对 计算 机 实施 破坏 性 动作 和 阻止 它 的 正常 操作 ; 

。 删除 恶意 软件 的 原始 文件 ,防止 被 检测 到 ,并 让 释放 的 副本 来 感染 。 

(3) 修改 的 文件 。 常 常会 在 InstallRite 中 发 现 恶 意 软件 修改 的 文件 ， 

该 恶意 软件 感染 了 文件 (病毒 ); 

。 该 恶意 软件 修改 了 文本 文件 的 内 容 ( 如 通过 修改 Windows 的 HOSTS 文件 阻止 访 
问 反 病 毒 网 站 ,键盘 记录 器 的 日 志文 件 ); 

该 恶意 软件 修改 了 正常 文件 的 一 部 分 (如 PE_PATCH 家 族 会 修改 Windows API 
来 调用 恶意 软件 ) 。 

2) Process Explorer 

Process Explorer 显示 了 进程 加 载 的 DLL 和 打开 的 句柄 信息 ,这 使 得 它 成 为 了 解 应 用 
序 内 部 行为 以 及 记录 句柄 泄露 和 DLL 版 本 不 匹配 的 强大 工具 。 

Process Explorer 显示 界面 包括 两 个 子 窗口 : 上 半 部 分 显示 当前 活动 进程 的 列表 ,包括 
户 名 等 信息 ; 下 半 部 分 根据 Process Explored 的 模式 ,显示 上 部 窗口 选中 的 进程 打开 的 
柄 (Windows 9x/ME 显示 文件 或 者 该 进程 加 载 的 DLL。 

通过 使 用 Process Explorer, 可 以 判断 恶意 软件 是 否 会 在 运行 后 驻 留 内 存 , 另 外 ,也 可 以 
断 恶意 软件 使 用 的 资源 。 
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2. 针对 进程 的 动态 分 析 

恶意 软件 会 加 载 特 定 进程 或 者 打开 特定 句柄 ,这 点 比 释 放 文 件 更 具有 隐蔽 性 。 利 用 
Process Explorer 可 以 分 析 这 些 数据 。Process Explorer 可 以 定位 到 特定 的 进程 并 显示 对 
应 的 句柄 或 DLL, 如 图 7. 110 所 示 。 


上 面 的 区 域 显示 了 正 
在 运行 的 进程 列表 


放下 二 


要 关 轨 骂 半 下 


WonownDls 

eee F 面 的 区 域 显示 了 

Se 进程 使 用 的 资源 
lamedDbrects\hardwaremeercalback 


BaseNamedDbrecti\ShegReedyE vert | 


CPU Usagei 5,97% Commit horge: 20,47% Processes: 25 


图 7.110 Process Explorer 界面 


可 以 使 用 Process Explorer 监控 恶意 软件 进程 ,首先 执行 Process Explorer, 随 后 执行 
恶意 软件 并 观察 下 列 现象 : 

。 新 进程 的 创建 ; 

。 新 进程 是 否 和 恶意 软件 相关 (与 InstallRite 结果 对 应 ); 

。 新 进程 是 驻 留 内 存 还 是 执行 一 段 时 间 后 终止 。 

3. 针对 网 络 通信 的 动态 分 析 

新 型 的 恶意 软件 处 于 远程 控制 的 目的 .都 会 向 网 络 发 包 。 收 集 这 些 信 息 对 于 侦查 溯源 
是 非常 必要 的 。TCPView 是 一 个 可 以 显示 包括 进程 名 字 、 远 端 地 址 和 连接 状态 等 所 有 
TCP 和 UDP 终端 详细 信息 的 Windows 程序 。 利 用 TCPView, 可 以 监控 恶意 软件 执行 时 
的 所 有 网 络 行为 ,对 分 析 蠕 虫 和 木马 尤为 重要 。 

执行 TCPView ,执行 恶意 软件 并 注意 观察 以 下 现象 .如 图 7. 111 所 示 。 

。 新 创建 的 网 络 连接 ; 

。 针对 木马 ,检查 所 有 处 于 监听 状态 或 已 建立 状态 的 本 地 地 址 和 端口 。 查 找 远 端 黑客 
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| 


日 来 连接 和 控制 系统 的 端 
。 针对 会 连接 到 远程 URL 的 恶意 软件 ,检查 处 理 已 建立 状态 的 远程 地 址 和 端口 。 这 
意味 着 该 恶意 软件 试图 连接 到 远程 URL 并 很 可 能 下 载 文 件 或 进行 其 他 恶意 行为 。 


馈 process Explorer - Sysinternals: www.sysinternals.com [BATCH57Winxp] 
名 Yew Process Fnd Hande Users Hep 
加 忆 目 图 问 啊 X 的 包 


Genenic Host Process fot WE ，Mictosoft Corporation 
Genesic Hos Process for WE Microsoft Corporsion 


Windoms 
BaseNamedDblects 
C\Documents and Settings\wirvp BATCH57 000\Desktop\beckdoo 


DeviceWsecDD 
C\Documerts end Sotingswiwn BATOHS 000NDesktop\backdoorMSWINSCK OCX 


ET 18,18% Camm Chore 29 .67% Processes: 28 


图 7.111 观察 现象 


在 TCPView 中 定位 恶意 软件 的 进程 和 进程 人 ,然后 观察 端口 详细 信息 ,如 图 7. 112 所 示 。 


TCPView - Sysinternals: www.sysinternals.com . | 口 |X 


Ele Options Process Yew Hep 
国 A -加 
c RemoleAddess & Stale 
z ET CT CE 
口 
UUF 


回 sycH0STEXE:1080 UDP 
SvCHOST.EXE:1080 UDP 


日 SvcH0ST.EXE:1172 UDP 
日 SVCHOST.EXE:1172 UDP 


USTENING 
USTENING 


USTENING 


图 7.112 观察 端口 
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TCPView 只 针对 进程 进行 监控 ,并 不 能 分 析 内 容 , 如 果 需 要 更 深层 次 的 分 析 , 可 以 使 用 
Wireshark 嗅 探 恶意 软件 运行 时 发 送 的 数据 包 , 该 工具 经 常用 于 记录 蠕虫 和 后 门 收 发 的 数 
据 包 ,对 恶意 软件 的 行为 进行 进一步 评估 。 

利用 Wireshark 分 析 恶 意 软件 的 网 络 通信 要 注意 : 

。 恶意 软件 通常 使 用 TCP 连接 ; 

。 所 有 的 TCP 网 络 通信 都 是 双向 连接 的 。 


例如 , 某 个 用 户 访问 某 个 恶意 网 站 ,被 下 载 恶 意 软 件 感染 用 户 计算 机 后 ， 
恶意 软件 会 盗 取 用 户 信 息 并 伪装 成 图 片 文件 回 传 到 某 个 网 络 空间 。 通 过 
分 Wireshark 的 嗅 探 分 析 , 可 以 看 到 恶意 软件 尝试 将 一 个 图 片 文件 发 送 到 下 面 
的 URL: 
http://121. 216. 239. 196/dptrhovn. png 
如 图 7.113 所 示 。 


eo 39) 1carion/x-ww-form-urlencoded 
er 


ost: 121.216.239.196 
-ent~Li 957 
ache-Contro1: no-cache 


ES 9c_FwztPcrLAvcBuDzASbnGKP20M38SJILh3Gzlelh1L JPTY SkYFRKI_ApQWP 5m0x54 
6 OY RCA A 站 
95nLi OCM2 OOK KSDT Oa ZUaNS HHYT L220xy MMO Om YY] 7 pr Nopb: 

3 eHsRcsAd4 qsc5D083hv UL_PMQh7TXNvkD: | 


uz 


boairT8021tos oocYvx: 
me a Se ee 


-ay 
ed-By: PHP/5.2.8 

2 

MAAAMHOE eT. OOF CROVATT Ef Snk SF OpTYS 

ee H7DoMwoovUKaTBAhwbI61Fm79ovfc_j7FFUZ7EBF5jo69aoJA_QaIbalerSu3a9_- 

JZ 

ve Cby or TNs 站 HcdnH289xpj4ClvqdexOa5oPnEsTn7nv3E9cIDKBY9KOWLWpordgs3FTPEC-_dpcIAoaoy 
6d0oawNLxcoLB3HPhwLl0mx59w 画 
Cl [ 


[Ere] (Gove 8 [En Enere comwersoion (2260 brtes) 逆 |© ascn oO Epcptc O Hex Dump OC rays Op 


图 7.113 http post 举例 
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7.11.8 计算 机 恶意 软件 动态 分 析 应 用 


分 2011 年 , 某 市 公安 局 抓获 一 个 利用 病毒 姿 穷 用 户 信 


息 的 犯罪 团伙 ,用 户 


一 旦 感染 病毒 ,其 会 修改 注册 表 、 盗 取 计 算 机 用 户 的 账号 和 密码 、 结 束 部 分 常 


用 杀毒 软件 的 进程 。 
场景 应 用 


通过 多 种 工具 对 病毒 样本 进行 动态 分 析 , 具 体 结果 如 下 : 


(1) 使 用 Bintext 工具 打开 setup. exe, 发 现 该 文件 中 存在 项 狐 工作 室 的 标志 ,如 


图 7.114 所 示 。 


Search | Fiter | Hep | 


Fie to scan |[C'\ 无 锡 \ 匹 锡 \ 境 退 人 机 器 中 的 病毒 源 代码 \5elup exe 


0 Setup exe 

0 DrginaFiename 

0 Setup 
000063EA 004073EA 0 IntemalName 

0 PioductYersion 

0 FleVersion 

0 

0 


0 
0 
0 
0 
0 
0 WS_VERSION_INFO 
00002FF8 00402FF8 0 5586EC88450888750C8840D103106D1C083C604E2F7C3C3 

0 5588EC6A01580FA233C2F7E1CS9C3 

0 CDBC9D2FFF6EDE4 

0 

0 

0 

0 

0 


图 7.114 查找 关键 字符 串 


(2) 激活 分 析 。 
在 虚拟 机 中 运行 生成 Setup. exe 样本 ,通过 IntallRite 工具 记录 其 3 


E 要 行为 。 


Oa 样本 运行 后 ,会 在 当前 目录 创建 unpack. exe 文件 ,后 删除 。 此 文件 是 一 个 加 壳 程 


序 ,不 是 病毒 ,如 图 7. 115 所 示 。 


@ 样本 会 释放 两 个 DLL 文件 : 


C:\Program Files\Common Files\System\MSx * < * * * .DLL 32k; 


C:\Program Files\¥x ¥xx#xx¥¥x\x¥x¥¥#*#*¥*¥*¥.DLL12k(:* 为 随机 数字 ); 


第 7 章 网 络 犯罪 侦查 技术 317 


{TopFox SoRwarel 


辣 | \Documents and SetingsWdminisator 厂 面 \Setupexe ~| 
证 位- 到 


试 旺 运行 此 程序 : 
[ C:\Documents and Settings Administrator\ 盘 面 \upack exe 加 


Ee 到 
技术 信息 : 
APL Createprocess "i 四 
命令 行 参 数 为 "wpack.exe "c:N5289.765" -Force 


| 
[tt 扣 作 人 当 次 S| 


所 了 kB 厂 疡 开 由 时 天 下 
厂 化 详 该 进程 执行 任 一 未 分 类 程序 


JT 下载 者 mF Lew | 
月 开 如 | [等 记 用 但 序 活动 [SEE 
图 7.115 激活 分 析 


样本 在 系统 目录 生成 两 个 引导 文件 : 


中 SystemDir%Nx x xxx#*x*#.log 2048 字 节 
%SystemDir%\x x x x x* x* x* x .cpl, 2048 字 节 (x 为 随机 数字 ) 


其 中 . cpl 的 文件 是 在 用 户 打开 控制 面板 的 时 候 会 激活 运行 。 此 . cpl 文件 启动 后 将 运行 
真正 的 病毒 体 。. log 文件 的 内 容 跟 . cpl 文件 的 内 容 一 致 ,如 图 7. 116 所 示 。 


a A 9 gS|,? ® 


C:\Documents and Setlines\Aiministrator\Local Setlings\Tenp\Perflib Perfdata BB4 dat 
C:\Program Files\S9CDFE3D 


由 46. 945-DABGBECD. pf 
图 na riles EXE-03754001 pf 
折合 bdistry CIE. DLL-3762DS81. pf 
Ser C: WIINDOWS\PrefetchASETUF EXE-24BOCBTS. pf 

ge MUPACK EXE-O1ABBAD. pf 
HCDFE30. 1o€ 
C: VEIIDOWSVsystes32WSS9CDFE CFL 
Ci \bocwments sand Settines\Adninistrator\ 磊 面 \Setup. exe 
Ci\Systen Yolume Information 


图 7.116 释放 病毒 样本 
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@ 样本 修改 注册 表 


HKLM\SOFTWARE\Classes\CLSID\ {59ADD206-A6FF-11E0-9A84-00C04FD8DBD8}\ 
InprocServer32\Threading Model = "Apartment" 

HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Explorer\ShellExecute Hooks\ 
{59ADD206-A6FF-11E0-9A84-00C04FD8DBD8} 二 "xx%¥ 关 关 关 " 

HKCU\Software\ Microsoft\ Windows\Current Version\ Explorer\ Advanced\ Hidden = 0x2 
HKCU\Software\ Microsoft\ Windows\Current Version\ Explorer\ Advanced\ HideFileExt = 0xl 
HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Explorer\Advanced\Folder\ Hidden\ 
SHOWALL\ValueName = "Hidden " 


以 达到 自 启动 和 隐藏 自己 的 目的 (* 为 随机 生成 的 文件 名 称 ,对 应 上 面 生 成 的 文件 ), 如 
图 7.117 所 示 。 


了 ile Edit Tools Vie kelp | 可 区 | 


人 | a 
Instal Ctrl Panel Config Snspshot Jay 在 RE 


CINSSES ROOT -全 于 -1150-9A54-00C0 人 050806 

nr PLASSES -ROOTACISTDNISSCTPESD- 人 SPP-1120-aMEA-ODCDMFDEDEDE} 

JREY-CLASSPS RDOTVCLSTD\ 159CDFE30-ABFP-1120-9A84-00CD4PDEDED6| Ia 

Deleted Fil | JaEY-EUASSPS -RDOTACLSTT\1S9CDPE30-BPF-， -Me O00 ene) I 
-RDOT\CLSIDN [S901 ED-9A54-00C04FDEDBDG) 


LDCAL MACHTNE\SOPTEAREN 


(SeCIFE30-A6FF-: 
STD S30 AGFF-] 1350-3A84-00C0AFDOIDT nor o. Server a2 
Modt Er od BA OY LOCN OIE SOrTOABE\CY esses \CLSTD\ SoCDEED MET 130 WAS O00UTDONDDO Urge oderver Se 


HhEY LDCAL, JFTEARE\Ni cr osoft \Windors\CurrentYersion\Explorer \ShellExecuteHool 
JEET Ss ET | 


图 7.117 修改 注册 表 


自 此 ,动态 分 析 完 毕 。 
7.11.9 计算 机 恶意 软件 的 静态 分 析 
恶意 软件 的 静态 分 析 , 是 在 恶意 软件 不 运行 的 状态 下 ,通过 查看 文件 属性 获取 信息 , 脱 


壳 反 编译 恶意 软件 ,从 源 代 码 中 提取 信息 的 技术 。 在 面 对 封 装 的 可 执行 文件 时 ,侦查 人 员 缺 
乏 相 应 的 知识 ,无 法 对 其 进行 反 编 译 及 分 析 。 恶 意 软件 通常 会 利用 加 壳 来 抵御 反 编译 ,这 就 
需要 层 层 剥 曹 ,逐步 进行 静态 分 析 。 从 静态 文件 分 析 中 ,可 以 获得 以 下 信息 : 文件 类 型 .是 
否 压 缩 、 编 译 器 信息 、 独 特 的 可 读 的 字符 串 。 静 态 分 析 的 过 程 主要 如 下 。 

1. 脱 壳 

恶意 软件 的 加 壳 全 称 是 “可 执行 程序 资源 压缩 ”是 保护 文件 的 常用 方法 。 加 壳 的 程序 
可 以 直接 运行 ,但 是 不 能 查看 源 代码 ,要 经 过 脱 壳 才 可 以 查看 源 代码 。 加 壳 文 件 结构 的 压 
缩 ,不 是 数据 的 压缩 。 文 件 类 型 识别 工具 如 PEiD 和 STUD_PE 可 以 帮助 侦查 人 员 判 断 文 
件 是 否 被 压缩 过 。 以 常用 的 PEiD 为 例 介绍 分 析 过 程 。PEiD 可 以 检测 大 部 分 PE 文件 常见 
的 壳 、 加 密 工具 和 编译 器 。 目 前 它 可 以 检测 超过 450 种 不 同 的 PE 文件 特征 , 它 使 用 了 可 以 
遍历 压缩 算法 的 模拟 算法 并 通过 字符 串 来 识别 它们 。 
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PEiD 可 以 获得 以 下 文件 信息 ,如 图 7. 118 所 示 。 
(1) 入 口 点 偏 移 地 址 ; 

(2) 代码 的 文件 偏 移 ; 

(3) 入 口 点 所 在 的 节 名 称 ; 

(4) 入 口 点 的 前 几 个 字 节 ; 

(5) 壳 信息 。 


编译 器 或 充 


扫描 目录 


高 级 扫描 选项 


图 7.118 PEiD 主要 功能 


要 使 用 PEiD 来 查看 文件 类 型 ,请 按 如 下 步骤 操作 

(1) 将 文件 拖 动 到 PEiD 窗口 ; 

(2) 查看 结果 并 按照 以 下 方法 判断 : 如 果 样 本 被 加 壳 了 ,查看 壳 类 型 (常见 过 如 表 7. 27 
所 示 ); 如 果 样 本 没有 加 壳 , 则 查看 编译 器 信息 。 


表 7.27 PEiD 识别 的 常见 的 编译 器 和 壳 


常见 编译 器 常见 壳 
UPX 
Aspack 
Visual C 十 十 /. NET ee 
Borland C 十 十 De 
Borland Delphi ES 
re PEPack 
Visual Telock 
Basic 5. 0/6. 0/. NET oe 
C# Asprotect 
ExeStealth 
Petite 


PESpin 
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2. 提取 字符 串 

在 进行 反 编译 之 前 ,可 以 先 利 用 工具 从 文件 中 提取 可 阅读 字符 串 。BinText 可 以 从 文 
件 中 提取 出 ASCII 和 unicode 字符 串 。 通 过 从 文件 中 提取 可 阅读 的 字符 串 , 可 以 给 侦查 人 
员 提 供 程序 的 基本 情况 ,如 图 7. 119 所 示 。 


要 处 理 的 文件 


ASCII 或 
Unicode 字 符 串 


搜索 特定 的 字符 串 | 


图 7.119 BinText 字符 串 提取 


下 面 是 恶意 软件 代码 中 常见 特有 字符 串 类 型 : 
Windows 函数 (如 CreateFile .OpenFile 等 ) 。 
文件 名 (如 恶意 软件 释放 的 文件 名 、 组 件 文件 的 文件 名 等 ) 。 
。 HTML 代码 (如 mIRC 脚本 代码 .HTML 代码 等 )。 
。 描述 该 恶意 软件 的 可 阅读 字符 串 ( 如 某 些 恶意 软件 在 文本 框 中 显示 的 字符 串 ) 。 
URL( 如 可 能 指向 恶意 软件 用 来 下 载 其 他 恶意 软件 .升级 的 URL 或 者 用 来 上 传 窃 
取 到 的 信息 的 URL)。 

3. 反 汇 编 

反 汇 编 是 逆向 分 析 技 术 的 核心 ,需要 较 高 的 计算 机 水 平 ,要 求 了 解 汇编 语言 和 数据 结构 
原理 ,这 对 侦查 人 员 无疑 是 个 巨大 的 挑战 。 侦 查 人 员 可 以 利用 工具 ,在 粗略 了 解 汇编 知识 的 
基础 上 ,迅速 有 效 地 进行 反 汇 编 分 析 。 

1) Hackers View( Hiew) 

Hacker View 是 一 个 十 六 进 制 查看 工具 , 它 支持 DOS 和 Windows 执行 文件 等 多 种 文 
件 格式 。Hiew 的 主要 功能 如 下 : 

(1) 文本 /十 六 进 制 模式 编辑 器 。 

(2) 集成 Pentium(R)Pro 汇编 。 

(3) 创建 新 文件 。 

(4) 在 一 个 块 中 进行 搜索 和 替换 。 
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(5) 上 下 文 相 关 帮 助 (Hiew 可 以 在 没有 帮助 文件 HIEW. HLP 下 工作 )。 

(6) 通过 特征 搜索 汇编 指令 。 

Hiew 有 三 种 模式 的 视图 ( 按 回 车 或 者 F4 键 来 切换 模式 ): 

(1) 文本 模式 (如 图 7. 120 所 示 ) 一 一 用 79 列 的 ASCII 模式 来 显示 文件 内 容 。 该 模 
- 般 用 来 查看 代码 中 的 可 识别 的 文本 字符 串 , 用 于 识别 恶意 软件 是 否 加 壳 。 
(2) 十 六 进 制 模式 (如 图 7. 121 所 示 ) 一 一 用 十 六 进 制 和 对 应 的 ASCII 来 显示 文件 内 
该 模式 一 般 用 来 分 析 基 于 十 六 进 制 的 文件 特征 。 
(3) 反 汇 编 模 式 ( 如 图 7. 122 所 示 ) 一 一 用 于 显示 文件 的 汇编 指令 。 该 模式 可 以 用 来 通 
过 查看 32 位 指令 进行 代码 级 别 的 文件 行为 分 析 。 


Wr 


Hiew: calc.exe 
[calc-exe mm 
FE ] 


图 7.120 文本 模式 


is program canno 
t he run in DOS 


片 
上 3} 


yd 
4087 X79 -E137 
Richlsx? 


Be-19 
和 4 19Leave 
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BA 

68EB15g99B1 <1> 
E847938999 一 上 《27 
33DB ebx.ebx 


53 
8B3D281968691 ModuleHandlef ;KERNE| 
FF) 


D? 
ee -Leax], *ZM’ 
ji ee <3> 
gac ecx. [eax 1[3C] 
ax 
395 04588006 d. [ecx], 


如 后 4118 eax-u. [ecxill 
3DBBB1BBBB Bax, 

?41F j 

3D6B929966 eax 

?495 ji 
895DE4 [ebpl[I-1C}, 

EB27 j 7> 
83B7840066666E d.[ecx Jopogooy I 
26P2 ji 8> 


33Cg r eax.eax 
3 7 1 Oeye 


图 7.122 反 汇 编 模 式 


Hiew 可 以 查看 PE 信息 。PE 信息 包括 节 数 量 、 镜 像 大 小 、 校 
中 可 以 找到 的 信息 。 要 打开 PE 


验 值 和 其 他 在 PE 文件 头 
窗口 ,应 在 加 载 PE 文件 后 按 F8 键 ,如 图 7. 123 所 示 。 


on of section: 3 ine te1386 
1 table Bodo0000 09009006] Sat hug 18 84:52:: 1 和 
e of optional header 96E8 人 opcional header 
了 -98 | 0S_ version 
Subsystem version 
Size of co 
Size of uninit data 
Size a header 
Base of data 


ge base 
gelion alignment 


B5040090 881988 
a BBO1D?FC 


图 7.123 查看 PE 文件 信息 


当 在 Hiew 中 查看 PE 文件 结构 时 ,有 以 下 重要 字段 : 
。 人口 点 。 这 是 应 用 程序 第 一 条 指令 在 内 存 中 的 地 址 。 这 是 程序 开始 执行 的 地 方 。 
如 果 该 值 是 0 或 者 一 个 非常 大 的 数据 ,那么 该 样本 可 能 被 加 壳 或 被 保护 。 
。 镜像 大 小 。 该 值 指出 了 文件 的 总 大 小 。 如 果 该 值 不 正确 ,文件 将 不 能 运行 。 无 论 是 
后 置 或 三 明治 式 的 病毒 感染 方式 ,都 需要 去 修改 该 值 来 反映 增加 了 的 病毒 代 
本 机 放 省 多 的 从 丰 豚 训 全 
。 DR 这 部 分 告诉 用 户 正 在 分 析 的 文件 是 一 个 执行 文件 .dll 文件 还 是 驱动 文件 。 
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2) OllyDbg 

OllyDbg 简称 OD, 如 图 7. 124 所 示 。OllyDbg 是 一 种 将 IDA 与 SoftICE 结合 起 来 的 工具 ， 
Ring3 级 调试 器 ,非常 容易 上 手 , 已 代替 SoftICE 成 为 当今 最 为 流行 的 静态 分 析 工 具 , 同 时 还 支 
持 插 件 扩展 功能 。OllyDbg 的 使 用 需要 有 和 较 高 的 逆向 能 力 , 需 要 在 实际 工作 中 摸索 掌握 。 


图 7.124 OllyDbg 界面 


7.11.10 移动 终端 恶意 软件 的 送 向 分 析 技 术 


随 着 移动 互联 网 的 逐步 推进 ,移动 应 用 产品 日 趋 增多 ,移动 终端 恶意 软件 对 个 人 隐私 、 
个 人 财产 不 断 构成 威胁 。 侦 查 人 员 需 要 提高 移动 终端 恶意 软件 的 分 析 能 力 。 

1 移动 终端 恶意 软件 概述 

移动 终端 恶意 软件 是 以 智能 移动 终端 为 感染 对 象 的 恶意 软件 , 它 以 网 络 为 传播 平台 , 世 
利用 发 送 短信 、 彩 信 , 电 子 邮 件 , 浏 览 网 站 ,下 载 铃 声 , 蓝 牙 等 方式 进行 传播 ,会 导致 用 户 手机 
死机 、 关 机 ,个 人 资料 被 删 、 向 外 发 送 垃圾 邮件 、 泄 露 个 人 信息 、 自 动 拨打 电话 、 发 送 短 ( 彩 ) 信 
等 恶意 行为 ,甚至 会 损毁 SIM 卡 ` 芯 片 等 硬件 ,导致 使 用 者 无 法 正常 使 用 手机 等 后 果 。 与 计 
算 机 设备 的 恶意 软件 相 比 ,其 运行 方式 略 有 不 同 , 但 是 运行 机 制 大 同 小 异 。 因 此 分 析 方法 与 
计算 机 恶意 软件 分 析 方 法 类 似 。 

2. 搭建 分 析 环 境 

移动 终端 操作 系统 相对 封闭 ,同时 运行 效率 不 如 PC, 因 此 在 逆向 分 析 时 ,一 般 在 PC 端 
搭建 分 析 环 境 , 类 似 于 虚拟 机 ,以 提高 工作 效率 。 
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构建 Android 模拟 器 环境 的 步骤 如 下 : 
(1) 安装 Java JDK 1. 6(Java Development Kit, 即 Java 开发 工具 包 )。 


(2) 安装 sdk 模拟 器 (Software Development Kit, 即 软件 开发 工具 


(3) 升级 sdk 模拟 器 ,选择 对 应 的 插件 。 


(4) AVD 模拟 器 创建 。 
插件 更 新 完成 之 后 开始 创建 设置 模拟 器 ,如 图 7. 125 所 示 。 


(5) 启动 模拟 器 。 


Create new Android Yireual Device (AVD) 
Nomee VERGEC 
和 FTFETTTPFT] = 
二 | 
ste 5 [本 
mu 
Er 
wan (COVGN 
esokiom 
Propery Value [Mew 
Abrrocied LCD demiy 160 
[Er > 


图 7.125 创建 设置 模拟 器 


选中 待 启 动 AVD, 单 击 Start 按钮 ,弹出 启动 选项 框 。 依 次 设 
照 , 单 击 Launch 按钮 ,然后 等 待 进入 模拟 器 界面 ,如 图 7. 126 所 示 。 


mempooe 


on 
秆 


包 ) 。 


二 分 辨 率 和 是 否 使 用 快 


图 7.126 启动 模拟 器 
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3. 移动 终端 恶意 软件 动态 分 析 
在 Windows 中 打开 命令 行 窗口 ,输入 adb shell 命令 。 该 命令 可 以 进入 模拟 器 的 Linux 


(1) 安装 待 分 析 软 件 ,如 图 7. 127 所 示 。 
使 用 adb 命令 安装 软件 : 
adb install test. apk 
丽 C\Windows\system32\cmd.exe 一] 


ANDROID_LOG_TAGS - When used with the logcat option, only these de 四 
bug tags are printed. 


jc: \Downloads \android-sdk_r86-windows\android-sdk-windows \platforn-toolsYadb inst 
lall test.apk 
I241 KB/s <498669 bytes in 2.819s> 
pkg: /data/local/tnp/test.apk 
Su 


图 7.127 安装 文件 


(2) 判断 其 权限 。 
aapt d permissions test. apk 
如 果 有 sms_read、sms_write 等 特殊 权限 , 则 进行 静态 分 析 。 
(3) 嗅 探 网 络 行为 。 
件数 据 嗅 探 可 以 使 用 本 地 嗅 探 和 旁 路 嗅 探 两 种 方式 。 本 地 咱 
中 发 出 的 数据 包 。 旁 路 嗅 探 是 设置 代理 ,将 目标 移动 终端 的 数据 被 引导 到 
ee 备 上 进行 嗅 探 分 析 
。 本 地 嗅 探 的 做 法 如 下 : 
Oz 在 adb shell 模式 下 执行 以 下 命令 


条 是 直接 嗅 探 模拟 
中 代理 设备 ,在 代理 


sqlite3 /data/data/com. android. providers. settings/databases/settings. db "INSERT INTO system 
VALUES(99, 'http_proxy'，' 代 理 JP: 端 口 ')" 


在 adb shell 模式 下 执行 查询 命令 ,如 图 7.128 所 示 


sqlite3 /data/data/com. android. providers. settings/databases/settings. db " SELECT >* FROM 
System " 

(@ 9 重新 启动 Android 模拟 器 ,程序 可 以 登录 代理 网 站 

DD 恶意 软件 数据 嗅 探 ,如 图 7. 129 所 示 。 

实时 生成 数据 包 文件 : 


emulator 一 avd Test 一 tcpdump capture. pcap 


。 旁 路 嗅 探 的 做 法 如 下 .如 图 7. 130 所 示 。 
旁 路 嗅 探 是 通过 侦 听 手机 的 网 络 流量 包 , 捕 获 手机 恶意 软件 的 远程 控制 服务 器 和 对 外 
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ic:\Dowunloadsvandroid-sdk_zrB6-vindowsvandzroid-sdk-vwindows\platfozm-tools>adb she 


1 

lt sqlite3 /data/data/com.android.providers.settings/databases/settings.db " 

IT INTO system UALUESC99,’http_proxy’ ,’19.198.26.252:1688’ > 

lsqlite3 /data/data/con.android.providers.settings/databases/settings.db "INSERT 
INTO system UALUESC99.’http proxy’.’10.18.26.252:1888’) 


i sqlite3 /data/data/com.android.providers.settings/databases/settings 
* FROM system" 
sqlite3 /data/data/com.android.providers.settings/databases/settings.db "SELECT 


图 7.128 命令 行 截图 


图 7.129 模拟 器 嗅 探 


网 络 链接 。 可 以 通过 手机 自 带 Wi-Fi 功能 . 连 和 实验 用 无 线 网 络 , 然 后 在 网 络 的 出 口 设备 上 
进行 网 络 流量 包 的 侦 听 ,简单 快速 地 捕获 所 需要 的 动态 网 络 信息 。 这 种 动态 分 析 适 合 各 类 
操作 平台 的 手机 


图 7.130 旁 路 嗅 控 


4. 移动 终端 恶意 软件 静态 分 析 

以 Android 的 APK 文件 为 例 介 绍 移动 终端 恶意 软件 静态 分 析 。APK 是 Android 
Package 的 缩写 , 即 Android 安装 包 。APK 是 类 似 yr sis 或 sisx 的 文件 格式 ,将 APK 
文件 直接 传 到 Android 模拟 器 或 Android 手机 中 执行 即 可 安装 。APK 文件 和 塞 班 的 sis 文 
件 一 样 , 把 android sdk 编译 的 工程 打包 成 一 个 安装 程序 文件 ,格式 为 apk。APK 文件 其 实 
是 zip 格式 ,但 后 缀 名 被 修改 为 apk。 
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1) APK 的 文件 结构 
APK 文件 结构 如 图 7. 131 所 示 。 


一 AndroidManifest. xml 
一 META 一 INF 
1 一 CERT.RSA 
I— CERT.SF 
— MANIFEST. MF 
一 classes.dex 
2 
ce 
1 一 drawable 
| 一 icon.png 
一 layout 
— main. xml 


-一 resources. arsc 


图 7.131 APK 文件 结构 
(1) Manifest 文件 。 
AndroidManifest. xml 是 每 个 应 用 都 必须 定义 的 ,包含 应 用 的 名 字 、 版 本 .权限 .引用 的 


库 文 件 等 等 信息 ,如 要 把 apk 上 传 到 Google Market 上 .也 要 对 这 个 xml 做 一 些 配 置 。 


分 析 反 编译 后 的 AndroidManifest. xml 文件 ,发 现 其 主要 包括 以 下 几 个 部 分 : 一 是 


二 uses-permission 记 标签 ,其 主要 功能 是 请 求 一 个 安全 授权 ,应 用 程序 必须 被 授予 该 权限 ， 
程序 包 才 能 正确 地 操作 ; 二 是 二 application 二 标签 ,表示 每 一 个 应 用 程序 的 组 件 及 其 属性 ; 
三 是 二 activity 之 标签 ,主要 应 用 于 用 户 交 互 的 机 制 ; 四 是 二 receiver 二 标签 , 主要 用 于 接收 
数据 变化 或 发 生 行为 ; 五 是 二 service 二 标签 ,主要 包括 在 后 台 任 意 时 刻 都 可 以 运行 的 组 件 。 


在 进行 恶意 软件 分 析 时 ,主要 对 二 uses-permission 二 标签 包含 的 参数 (如 表 7. 28 所 示 ) 


进行 分 析 , 如 果 包 含 其 基本 功能 不 需要 的 权限 , 极 有 可 能 是 恶意 软件 ,如 图 7. 132 所 示 。 


<.uses— permission 
android: name= "android. permission. ACCESS_NETWORK_STATE" ></uses 一 permission > 

< uses 一 permission android: name = " android. permission. ACCESS _WIFI _STATE"> </uses 一 
permission > 

< uses 一 permission android: name 一 ”android. permission. CHANGE _WIFI _STATE " > </uses| 
一 permission 

< uses— permission android:name 一 "android. permission. INTERNET"></uses 一 permission > 

// 访 问 网 络 连接 ,可 能 产生 GPRS 流量 

< uses 一 permission android: name 一 " android. permission. READ _PHONE _STATE"> </uses 一 
permission > 

< uses— permission 
android:name 一 "android. permission. WRITE_EXTERNAL _STORAGE"></uses— permission > 

< uses 一 permission android: name = " android. permission. INSTALL _PACKAGES" > </uses 一 
permission > 


图 7.132 典型 的 恶意 软件 的 Android ManiFest. xml 
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表 7.28 恶意 软件 常用 到 的 二 uses 一 permission 一 参数 
参 数 功 能 


INTERNET 允许 应 用 打开 网 络 套 接口 


ACCESS_FINE_LOCATION 允许 应 用 访问 精确 性 的 定位 (GPS) 


允许 应 用 接收 在 系统 完成 启动 后 发 出 的 ACTION _BOOT _ 


RECEIVE_BOOT_COMPLETED | 
COMPLETED 广播 人 


ACCESS_NETWORK_STATE 允许 应 用 访问 网 络 上 的 信息 


RECEIVE_SMS 允许 应 用 去 监听 短 消息 并 对 其 进行 处 理 
BLUETOOTH 允许 应 用 去 连接 蓝牙 设备 
SEND_SMS 允许 应 用 发 送 短信 


(2) classes. dex 文件 。 

classes. dex 文件 相当 于 Java 的 字 节 码 文件 ,里 面包 括 了 所 有 源码 ,需要 再 次 解 包 把 它 
转 成 . java 或 是 . smali。 静 态 分 析 中 主要 是 根据 发 送 短信 、 启 动 activity、 启 动 后 台 服 务 、 挨 
打 电 话 和 插入 浏览 器 书签 五 种 特征 来 判断 该 程序 是 否 为 恶意 软件 。 

。 发 送 短信 。 

恶意 软件 会 通过 静默 发 送 付费 短信 ,实现 恶意 扣 费 的 目的 ,主要 会 使 用 android. 
telephony. SmsManager. sendTextMessage 函数 实现 发 送 短信 的 功能 。 以 某 恶意 软件 为 
例 , 该 软件 实现 了 向 1066185829 自动 发 送 短信 的 功能 ,如 图 7.133 所 示 。 


public void sendSms() 
{ 
String str 一 getStateVal() ; 
if (1"Y".equals( str)) 
{ 
SmsManager localSmsManager = SmsManager. getDefault(); 
TIntent localIntent = new Intent(); 
PendingIntent localPendingIntentl = PendingIntent. getBroadcast(this, 0, localIntent, 0); 
PendingIntent localPendingIntent2 = null; 
localSmsManager. sendTextMessage("1066185829", null, "921X1", localPendingIntent], 
localPendingIntent2) ; 
save(); 
} 
} 


图 7.133 恶意 软件 代码 片段 


。 启动 Activity。 

Activity 是 Android 最 基本 的 应 用 程序 组 件 , 任 何 一 个 Android 应 用 程序 都 可 以 看 作 
一 组 任务 ,这 里 每 一 个 任务 就 可 以 称 作 一 个 Activity, 用 于 呈现 数据 并 与 用 户 进行 交互 。 恶 
意 攻击 者 实现 连接 网 络 和 盗 取 敏感 信息 等 恶意 行为 ,需要 通过 使 用 独立 类 来 实现 Activity， 
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即 通过 android. app. Activity. startActivity 函数 来 实现 各 种 业务 功能 。 

。 启动 后 台 服 务 。 

后 台 服 务 功能 相当 于 没有 界面 的 Activity, 可 以 不 需要 用 户 直接 参与 而 长 时 间 运 行 , 当 
一 个 服务 启动 后 ,可 以 借助 各 类 接口 与 其 进行 通信 。 在 实际 应 用 中 ,常常 需要 等 待 系统 或 其 
他 应 用 发 出 指令 ,于 是 出 现 了 Broadcast Receiver 组 件 .每 个 Broadcast Receiver 组 件 都 可 
以 接收 一 种 或 若干 种 Intent 作为 触发 事件 , 当 一 个 Broadcast Receiver 组 件 被 触发 后 ,系统 


就 会 通知 相应 程序 。 由 于 服务 功能 具有 静默 运行 等 特点 ,用 户 不 易 发 现 , 恶 意 攻击 者 通常 会 
利用 android. content. Context. startService 困 数 来 启动 后 台 服 务 。 
。 拨打 电话 。 


拨打 电话 是 恶意 攻击 者 实施 攻击 的 一 种 重要 手段 ,可 以 通过 定义 ITelephony 类 实现 。 
通过 调用 ITelephony 类 的 dial 函数 可 以 实现 直拨 指定 电话 号 码 ,例如 某 恶意 软件 具有 自动 
拨打 电话 功能 ,具体 实现 如 图 7. 134 所 示 。 


ITelephony phone 一 (ITelephony)ITelephony. Stub. asInterface( ServiceManager. getService (phon)) phone. 
dial(10086) 


图 7.134 拨打 电话 代码 


。 插入 浏览 器 书签 。 

为 了 获取 更 大 的 商业 利益 ,与 基于 PC 平台 的 恶意 软件 类 似 , 基 于 安 卓 平台 的 恶意 软件 
会 将 URL 作为 广告 信息 插入 浏览 器 书签 。 以 某 恶 意 软件 为 例 , 其 将 www. com. android， 
Contacts /raw_contacts 插入 到 用 户 浏览 器 的 书签 中 ,实现 推广 该 URL 的 功能 ,如 图 7. 135 
所 示 。 


ContentResolver cr = getContentResolver() ; 

Uri uri 一 cr.insert(android. provider. Browser. BOOKMARKS_URI，bookmarkValue) 
Uri localUri = Uri.parse("content:www. com.android. contacts/raw_contacts" ); 
ContentResolver. delete( localUri, null, null); 


图 7.135 URL 插入 代码 


2) 移动 终端 恶意 软件 静态 分 析 工 具 

(1) Apk Tools, 

Apk Tool 通常 用 于 生成 程序 的 源 代码 和 图 片 .XML 配置 .语言 资源 等 文件 。 可 以 反 编 
译 apk 中 的 xml 等 资源 文件 ,然后 通过 apk-sign 签名 ,可 以 制作 成 修改 版 的 可 发 布 apk 
文件 。 

(2) dex2 jar。 

Android 反 编 译 程序 叫 作 dex2jar, 就 是 将 dex 文件 反 编译 成 Java 的 jar 包 ,做 了 这 一 步 
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以 后 , 接 下 来 就 可 以 反 编 译 jar 了 。dex2jar 的 具体 操作 如 下 : 
。 把 apk 文件 后 级 名 改 为 . zip, 然 后 解压 缩 其 中 的 class. dex 文件 ; 
。 把 class. dex 复制 到 dex2jar. bat 所 在 目录 ,运行 dex2jar. bat class. dex, 生成 
classes. dex. dex2jar. jar, 如 图 7. 136 所 示 。 


lpackage com.GoldDream. zj; 


| 了 - 
| Files 


| | -© upload slimport java.io.BufferedReader; 

[| © uplosdfile(Stind 

| 由 国 aeceier pe class UploadFiles 

| 由 - 国 zservice public void uploadFile (String paramstringl, String paramstring2) 
由 击 rainbwFish { 


try 

{ 
URL localURL = new URL (paramStringl); 
HttpURLConnection localHttpURLConnection = (HttpURLConnection) localURL 
localHttpURLConnection. setDoInput (true); 
localHrtpURLConnection .setDoOutput (true)7 
localHttpURLConnection. setUseCaches (false); 
localHttpURLConnection. setRequestMethod("POST™); 
localHttpURLConnection. setRequestProperty ("Connection", "Keep-Alive") 
localHttpURLConnection. setRequestProperty ("Charset", "UTF-O"); 
localHttpURLConnection. setRequestProperty ("Content-Type", “multipart/ 
DataOutputStream localDataOutputstrean = new DataOutputStream(1localHr 


由 - 密 wooboo.adlib_android 


图 7.136 运行 Java Decompiler 查看 classes. dex. dex2jar. jar 源 代码 并 进行 分 析 


(3) Java Decompiler 。 

Java Decompiler 是 优秀 的 APK 反 编 译 工 具 , 可 以 将 编译 过 的 CLASS 文件 编译 还 原 成 
为 Java 原始 文件 并 且 不 需要 额外 安装 JVM(Jarva 虚拟 机 ) 或 是 Java SDK 的 工具 模 组 即 可 
使 用 。Java Decompiler 也 兼 具有 Java 程序 编辑 工具 的 功能 。 

3) 移动 终端 恶意 软件 分 析 应 用 


分 菜市 公安 局 破获 一 起 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 案 。 
经 查 ,犯罪 始终 人 开发 手机 监听 软件 ,用 于 对 受害 人 手机 进行 语音 监听 、 短 信 
监控 等 行为 。 
场景 应 用 


(1) 将 com. android. apk 复制 到 Apk Tool 工具 的 安装 目录 下 ,使 用 Apk Tool 进行 反 
编译 ,查看 反 编 译 后 的 文件 AndroidManifest. xml, 如 图 7.137 所 示 。 
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沁 计算 机 新 加 卷 (D:) ，apktool >APK 


文件 昌 ”编辑 中 查看 VM) 工具 四” 帮 动 (H) 
组 织 ” ” 包含 到 库 中 ” 共享" 刻录。 新 建文 件 夫 


次 收藏 夫 名 称 修改 日 其 类型 大 小 
及 下载 assets 2014/12/22 13:38 ”文件 夫 
El 量 上 2014/12/22 13:38 ”文件 实 
量 曲 5 六 问 的 位 于 res 2014/12/22 13:38 ”文件 夹 
Bsmali 2014/12/22 13:38 ”文件 到 
大 库 固 AndroidManifestxml 2014/12/22 13:38 ”XML 文档 7KB 
国 祝 页 [DD apktoolyml 2014/12/22 13:38 。 YML 文 件 1KB 
加 图 片 
大 迅雷 或 


图 7.137 使 用 Apk Tool 对 com. android. apk 进行 反 编译 后 生成 的 文件 AndroidManifest. xml 


(2) 打开 AndroidManifest. xml 分 析 其 中 代码 ,得 知 该 程序 获得 了 以 下 权限 ,如 
图 7.138 所 示 。 


i ackage= “com android33m0” 
xmlns: ee et //schemas. i ee 


《uses-feature androi 
Kuses-feature androi 


name= ofocus” /> 
Kapplication a 二 "Ostring/app_name” android:icon=’ edrowable/ic_ lancher” 这 


图 7. 138 该 程序 获得 的 权限 
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依次 申请 的 权限 解释 见 表 7. 29。 
表 7.29 AndroidManifest. xml 获得 的 权限 说 明 


权 限 说 明 
ACCES_ MOCK_LOCATION 获取 模拟 定位 信息 
ACCESS_GPS 允许 GPS 定位 
MOUNT_UNMOUNT_FILESYSTEMS 允许 挂 载 和 反 挂 载 文件 系统 可 移动 存储 
READ_LOGS 允许 程序 读 取 底层 系统 日 志文 件 
VIBRATE 允许 访问 振动 设备 
WRITE_SETTINGS 允许 读 写 系 统 设置 项 
SYSTEM_ALERT_WINDOW 显示 系统 窗口 
RECEIVE_BOOT_COMPLETED 允许 程序 开机 自动 运行 
GET_TASKS 允许 程序 获取 当前 或 最 近 运 行 的 应 用 
RECEIVE_SMS 接收 短信 
READ_SMS 读 取 短信 内 容 
WRITE_SMS 允许 编写 短信 
READ_CONTACTS 允许 应 用 访问 联系 人 通讯 录 信息 
INTERNET 使 用 网 络 
ACCESS_WIFI_STATE 获取 当前 Wi-Fi 接 入 状态 和 WLAN 热点 的 信息 
CHANGE_WIFI_STATE 改变 Wi-Fi 状态 
ACCESS_NETWORK_STATE 获取 网 络 信息 状态 
CHANGE_NETWORK_STATE 改变 网 络 状态 如 是 否 能 联网 
ACCESS_CHECKIN_PROPERTIES 读 取 或 写 入 登录 check-in 数据 库 属 性 表 的 权限 
ACCESS_COARSE_LOCATION 访问 CELLID 或 Wi-Fi 进行 粗略 定位 
ACCESS_FINE_LOCATION 精确 定位 (GPS) 
READ_PHONE_STATE 访问 电话 状态 
PROCESS_OUTGOING_CALLS 允许 程序 监视 ,修改 或 放弃 拨 出 电话 
CAMERA 使 用 照相 机 
WRITE_EXTERNAL_STORAGE 允许 程序 写 和 人 外 部 存储 
CALL_PHONE 初始 化 电话 拨号 而 无 需 用 户 确认 
RECORD_AUDIO 录音 
REBOOT 允许 程序 重新 启动 设备 


(3) 使 用 反 编 译 工 具 jeb 打开 文件 com. android. apk ,进行 代码 分 析 . 如 图 7.139 所 示 。 

(4) 运行 开始 后 要 求 注册 设备 管理 器 ,可 隐藏 图 标 , 防 止 秃 载 ,如 图 7. 140 所 示 。 

(5) 具有 实时 获取 通话 记录 的 功能 ,在 手机 接 打 电 话 时 进行 监控 ,将 接 打 的 号 码 和 通话 
起 止 时 间 保 存在 相应 文件 中 ,如 图 7. 141 所 示 。 

(6) 具有 实时 获取 短信 记录 的 功能 ,在 手机 收发 短信 时 进行 监控 ,将 通信 的 号 码 、 通 信 
时 间 和 短信 内 容 记 录 下 来 ,如 图 7. 142 所 示 。 
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Fle Ed Acion Window Heip = ] 
训 日 大国 GvA4POOx,a 


aanle, Cloneatye { 
ee Boeprecared pablie atatie fimal a a 
Curoerp| | plse stauc mm 
Folderclt || pennic static final a o 
Tinelmpa | private static rinal scrimgl] a 
Lineourp | privete static 
Hessegem | private Sering 7 
gpecoder: 
Gencoder! 
GPoecoe 
Faas text /plain; charset-unicoae: class-Jeva.10. InpatStroam’ 
SocketPe! sapp Licetioa/e Jove -corialined oh)oct, classr]ave-1a8g .String "Uaicode String") 
SockerFe application/z- Jnle iat clasy=jawaati Li 
TraceInp 4 new Srrtz91 ("text/agml”, meext/xnl", Veaxt /enrsched", wtext/richtext”, 
Trmceoe| beat/ari-llstv， “Lext/tab separated-valoes Heat/rfel23-headers*， etext/parlty fec®, 
peceder text/directory’, "text/cse", "text/calendar’, "aplication/s java-serialirod cbject”, 
ee eaxt/glatarj 
' ea 
: 
how nner Clavies 0 


图 7.139 使 用 jeb 打开 文件 com. android. apk 


Ppublic void a() { 2 


Intent vO = new Intent ("android.app.action.ADD DEVICE ADMIN") 7 
v0.putExtra ("android.app.extra.DEVICE ADMIN", this.qa); 
v0.putExtra ("android.app.extra.ADD EXPLANATION", "欢迎 使 用 "); 
this.startActivityForResult (vO, 1); 


图 7.140 注册 设备 管理 器 


Public void onReceive (Context argé, Intent arg7) 【 

this.a = argé; 

if(arg7.getAction() .equals (“android, intent.action.NEW OUTOOING CALL")) { 
v0 = arg6.getSharedPreferences (calloonfig", 0); 
boolean v1 = vO.getBoolean("optioncall", true); 
boolean vO 1 = vO.getBoolean("optionrecord", true); 
if(lvl 66 1v0_1) 1 

returny 


} 


this.c = arg7.getstringExtra("android. intent.extra. PHONE NUMEER"); 
new e() .a(); 


dy 0 二 二 oe 
与 本 地 通话 的 号 码 ,通话 起 止 时 间 等 信息 保存 在 文件 中 


String vi_l = new et) .at 
this.e = arg6.getSharedPreferences ("cal "，0) .edit(); 
PputBoolean ("incomingflag", false); 

putstring ("phonenumber", this.c); 

putstring ("contactname", vO_2); 
putatring("starttine", vl_1); 

commit ()? 


PHONERIZARD"。 “打出 电话 : "+ his.o); 


图 7.141 取得 通话 记录 功能 
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| 获取 接收 到 的 短信 
this.a(" 短 信 来 自 "”+ v10 + "( 挝 名 :" + v4 + "):" + v9); 

1 

catch (Exception v2 1) { 

} 


++Vw57 
v2 = v1_3; 


图 7.142 读 取 短信 功能 
(7) 具有 通过 接收 短信 指令 并 执行 相应 代码 的 功能 ,相关 指令 有 三 种 ,包括 定位 \、 开 启 
网 络 与 拍照 ,由 于 具有 拦截 指令 短信 功能 ,所 以 受 监控 方 是 看 不 到 这 三 种 指令 的 。 如 
图 7.143 所 示 。 


4E(w7 equal"( 定 位 ]")) 【 
try 


{ 

this .a (" 定 位 指令 来 自 ” +“ (站 名 :”+ v4 + “] ， 当 前 位 置 : ”+ v1_3-getaczing("locarion"， 
"相知 ") + "， 定位 时 合 

) 

catah (Excepticn vO 1) { 
) 


this .abortBroadcast (); 
return; 
} 


4f (v7.equals (" (开启 同 ) { 
try { 


:接收 短信 指 今 ， 并 拦截 些 今 短信 


this.a ("启用 网 络 指令 来 自 ”+ v10 + 旋 


} 

catah (Exception vO 1) 1 

} 

this.abortBroadcast ()S 

return; 
} 拦 敲 指令 短信 
if(v7 ,equals "拍照 }j")) { 


人 
new ablargl3, v10, 0).a(); 


} 
catah (Exceprion vO_1) { 
} 


this.abortBroadcast ()F 
returns 


图 7.143 接收 执行 短信 指令 功能 功能 


(8) 通过 使 用 百度 的 定位 服务 .获取 手机 地 理 位 置 .如 图 7. 144 所 示 。 

(9) 具有 对 通话 进行 录音 的 功能 ,录音 保存 的 文件 名 为 callrecord. amr, 如 图 7. 145 
所 示 。 
(10) 控制 方 可 以 预先 设置 受 监控 手机 和 控制 方 的 邮箱 ,并 将 拦截 到 的 通话 记录 、 短 信 
彩信 记录 ,手机 位 置信 息 和 秘密 拍摄 的 照片 等 信息 发 送 到 控制 方 的 邮箱 ,如 图 7. 146 所 示 。 

至 此 ,对 此 恶意 软件 分 析 完 毕 , 可 以 看 出 ,其 具有 强大 的 窃取 隐私 的 功能 。 
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| ctring name=rendtine>2014-12-11 16:02:28xjstring》 “挨打 的 电话 号 码 
| tring mane"phooenmber ac/string) 
coolean nae="turmoffig" valos="false" 用 
| <string nane="starttime")2014-12-1) 16:03:39¢/string> 
choolean rae="inconingflag" valae="false" /> 
| ed 手机 定位 的 地 址 
ee 
<string nane="filenanme"y/string> 
<boolean mame="vitioly" valve="true" /> 
<string rane="locationgy") Sl , Bk /strig) 
ap 1 


图 7.144 定位 功能 


Private void a() { 
if(this.n) { 
Log .e (this.b，" 正 在 录音 中 ,本 次 录音 旅 弃 ") 7 
return; 


Log.e (this.b，" 准 备 录音 ") 7 

this.k = this.a.getSharedPreferences ("callconfig", 0); 

if(!this.k.getstring ("phonenumber", "").equals("")) { 

try { 

this.f = new File(this.a.getFilesDir(), "callreocord.amr"); 
this.c = new MediaRecorder (); 
this.c.setAudioSource (1); 录 立 后 :or 任 
this.o.setoutputFormat (3)7 录音 后 保存 文件 名 
this.c.setAudiopncoder (1); 
this.c.setoutputFile (this.f.getAbsolutePath()); 
this.c.prepare(); 
this.c.start (); 


图 7.145 录音 功能 


v5.g (string.valueOf (v5.a() ) + "的 短信 和 通话 记录 (当前 位 置 :”+ v3_1 + ")"); // 邮件 的 标题 this.h 
v5.i(""); // this.j 
Cursor v3.2 = va.d(); 邮件 标题 
int vi_3; 
for(vl_3 = 0; vO < v3_2.getcount(); vi 3=1){ 
3_2.moveToPosition(v0) 7 
v5.h(string.valueOf (v5.h()) + "\r\n\r\n<br><br>" + v3 2.getSstring(2)); // this.i 
++vO; 


} 


v3_2.close(); 

if(v1 3 != 0) { 
com.android33w0.d.a v0_1 = new com.android33w0.d.a(this.a); 
v0_1-a(v5)7 


try { 发 送 邮 件 函 数 
a ee 

} 

catch (Exception vO 2) 人 


图 7.146 发 送 邮 件 功能 
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7.11.11 水 桂 


长 期 以 来 ,逆向 分 析 被 认为 是 烦琐 而 困难 的 ,需要 具备 丰富 的 计算 机 专业 知识 的 侦查 人 
员 来 进行 。 但 是 ,网 络 环境 的 迅速 发 展 , 使 得 每 个 侦查 人 员 都 不 可 避免 地 面 对 恶 意 软 件 。 亚 
意 软件 分 析 的 “等 靠 要 ”态度 极 大 地 降低 了 侦查 的 效率 。 而 实际 上 ,恶意 软件 的 北向 分 析 是 
有 着 技巧 和 捷径 可 循 的 。 因此 , 毫 无 疑问 ,恶意 软件 的 逆向 分 析 技 术 是 网 络 犯 罪 侦 查 人 员 必 
须 掌握 的 技能 。 


7.12 密码 破解 技术 


常用 的 密码 大 概 有 几 十 种 之 多 ,最 为 人 熟知 的 密码 有 Windows 开机 密码 (包括 
LMhash 和 NTLMhash) Office 密码 .MD5 密码 .WinRAR 密码 等 。 如 果 你 愿意 ,你 可 以 自 
行 定 义 一 个 加 密 方式 来 保护 自己 的 文件 。 

密码 破解 是 随 着 密码 应 运 而 生 的 ,无 论 是 出 于 恢复 合法 数据 的 目的 ,还 是 窥探 他 人 隐私 
的 心理 ,密码 破解 这 项 技术 的 针对 目标 就 是 各 种 各 样 的 加 密 方式 。 二 者 从 诞生 之 日 起 就 处 
于 针锋相对 的 地 步 。 究 竟 是 密码 这 个 盾 结 实 , 还 是 密码 破解 这 个 矛 锋利 ,从 来 就 没有 一 个 定 
论 。 对 于 网 络 犯罪 侦查 来 说 ,密码 是 离 真 相 最 近 的 金 钥 匙 ,破解 了 密码 就 意味 着 案件 的 重大 
突破 ,从 而 可 以 挖掘 出 重要 的 线索 。 


7.12.1 BIOS 密码 破解 


1. 清除 CMOS SYSTEM 开机 密码 
打开 机 箱 , 把 电池 取 下 、\ 正 负极 短 接 ,给 CMOS 放电 ,清除 CMOS 中 的 所 有 内 容 ( 当 然 
也 就 包括 密码 ) ,然后 重新 开机 进行 设置 。 
注 : 品牌 机 的 CMOS 清除 跳 线 可 能 和 兼容 机 有 差别 ,必须 参照 品牌 机 的 说 明 书 来 解决 
问题 。 
2. 破解 CMOS SETUP 密码 
方法 1: 进入 系统 ,然后 在 DOS 下 面 启动 DEBUG ,输入 以 下 代码 清除 SETUP 密码 。 
_07016 
_o71 16 
一 各 
方法 2: 利用 第 三 方 工具 。 例 如 Cmospwd, 它 支持 Acer、.AMI、AWARD、、COMPAQ、 
DELL.、IBM、PACKARD BELL、PHOENIX、ZENITH AMI 等 多 种 BIOS, 在 DOS 下 启动 
该 程序 ,CMOS 密码 就 会 显示 出 来 。 
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7.12.2 操作 系统 类 加 密 的 破解 


以 Windows 为 例 介 绍 此 类 加 密 的 破解 ,侦查 实践 中 ,Windows 登录 密码 是 制约 侦查 人 
员 进 一 步 在 线 分 析 的 瓶颈 ,只 有 获得 了 Windows 管理 员 权 限 或 者 破解 了 Windows 登录 口 
令 , 侦 查 人 员 才 可 以 进一步 对 系统 中 的 数据 进行 分 析 , 发现 更 多 的 有 价值 信息 。 目 前 解决 
Windows 登录 密码 问题 主要 有 以 下 几 种 方法 。 

1. Windows 密码 重 置 


现在 对 于 Windows 的 用 户 密码 重 置 已 经 有 了 很 多 工具 ,例如 Active Password 
Changer(APC)。 能 够 完美 支持 清除 Windows 2000/XP/2003/Vista/7/2008/8 的 用 户 密 


码 , 同 时 支持 32 位 及 64 位 版 本 操作 系统 。 由 于 APC 不 能 够 直接 运行 在 需要 清除 密码 的 
Windows 操作 系统 下 ,所 以 现在 主要 使 用 的 有 PE 版 及 DOS 版 ,两 者 使 用 方式 基本 相同 。 
APC 支持 手动 选择 Windows 操作 系统 所 在 的 分 区 或 者 自动 搜索 存在 SAM 文件 的 所 有 硬 
盘 和 分 区 ,搜索 到 对 应 的 SAM 文件 后 ,APC 便 可 以 向 用 户 返 还 可 以 进行 密码 重 置 的 用 户 名 

及 描述 ,图 7. 147 是 DOS 版 的 APC 运行 界面 , 选 定 想 要 重 置 的 用 户 密码 后 ,APC 便 可 以 进 
入 并 修改 SAM 文件 中 的 用 户 密码 属性 ,将 ; 


分 使 用 Active Password Changer PE 版 或 DOS 版 v.4.0。 


工具 使 用 


和 硬盘 (8) 分 区 (8) 着 标 


地 号 | RID | 用 户 名 


日 999661r4 Rdninistrator 
1 988B81f5 Guest 


图 7.147 Active Password Changer 密码 重 置 


2. Windows 密码 绕 过 

通过 重 置 Windows 密码 的 方法 取得 Windows 管理 员 账 户 的 控制 权 ,但 是 此 种 方法 的 
不 足 是 造成 原始 登录 密码 的 清空 ,并 在 一 定 程度 上 破坏 了 用 户 数据 的 原始 性 ,所 以 在 侦查 工 
作 中 ,还 有 另外 一 种 Windows 用 户 密码 破解 方法 一 一 Windows 密码 突破 。 
美国 Kryptos Logic 公司 的 Konboot 启动 盘 产 品 是 一 种 全 新 的 Windows 密码 绕 过 方 
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法 ,该 工具 利用 虚拟 Bios 的 方式 , 仅 需 几 秒 即 可 获得 Windows 管理 员 权 限 , 无 需 密码 即 可 
登录 Windows 账户 ,不 会 对 现 有 系统 造成 更 改 。 使 用 时 , 先 利用 光盘 引导 系统 ,如 图 7. 148 


FullData 


所 示 。 


Checking SMAP BIOS entries ,.. 
BIOS seems to be Ok. 

Booting up!t - EOT 

Reading original sector? 


图 7.148 Windows 密码 突破 工具 启动 界面 


几 秒 之 后 ,目标 计算 机 Windows 正常 进入 启动 界面 。 启 动 结束 后 ,在 登录 窗口 中 ,无 须 
输入 任何 密码 , 按 回 车 键 即 可 进入 系统 。 该 工具 目前 支持 的 Windows 版 本 有 32 位 和 64 位 


的 Windows XP/Vista/7/8/8.1/Server 2003/2008 等 版 本 
7.12.3 文件 类 加 密 的 破解 


1，Office 文档 破解 

俄罗斯 Passware 软件 公司 是 一 个 研究 各 
表 产 品 Passware Kit 支持 对 200 种 以 上 的 加 有 
件 ,Passware Kit 具有 效率 高 、 成 功 
欢迎 。 

男 一 方面 ,Microsoft Office 是 目前 在 各 行 各 业 中 使 用 最 为 广泛 的 办 公 软 件 , 在 各 类 案 
件 中 涉及 加 密 的 Word .Excel 等 i Office 从 发 展 至 今 已 经 有 了 很 多 的 版 本 , 目 
前 常见 的 版 本 主要 有 Office 97 .Office 2000 一 2003 .Office 2007 .Office 2011 一 2013。 从 各 
自 版 本 的 加 密 强 度 来 分 ,可 以 分 为 以 下 三 类 : 

。 Office 97 至 2003 版 本 ,此 版 本 文件 扩展 名 为 * .doc, 可 通过 暴力 破解 原始 密码 或 彩 

虹 表 方式 快速 破解 。 
。 Office 2007 ,此 版 本 文件 扩展 名 为 x . docx, 无 法 使 用 彩虹 表 或 雷 表 进行 破解 ， 


码 破解 、 恢 复 技术 的 专业 软件 公司 ， 
;文件 的 破解 和 密码 恢复 , 相 比 于 其 他 解 
5、 使 用 简单 、 设 置 灵 活 的 特点 。 在 国际 市 场 | 下 过 
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过 暴力 方式 破解 简单 密码 ,或 通过 GPU 加 速 方式 进行 高 速 破解 。 但 是 破解 非常 复 
杂 的 密码 需要 高 性 能 GPU 的 集群 运算 , 且 需 要 大 量 的 时 间 。 
。 Office 2011 一 2013 ,此 版 本 文件 扩展 名 为 * . docx, 破 解 方式 和 Office 2007 版 本 方式 
相同 。 但 是 由 于 此 版 本 加 密 算法 比 2007 版 本 复杂 一 倍 ,因此 破解 时 间 也 比 2007 版 
本 更 长 。 
本 节 以 破解 Microsoft Word 97-2003 版 本 文件 为 例 ,通过 Passware Kit 解密 软件 的 基 
本 操作 使 用 ,讲解 Office 文件 的 密码 破解 。 此 方法 对 于 其 他 如 ZIP .RAR 、PDF 等 各 类 加 密 
文件 的 破解 同样 适用 。 


使 用 Passware Kit 对 已 加 密 的 X -Waysl16. 0. doc 文档 进行 解密 。 


工具 使 用 


。“ 使 用 预定 义 设置 ?方式 破解 文件 密码 。 

在 Passware 软件 中 ,选择 “恢复 文件 密码 "选项 ,选择 需要 破解 的 加 密 文件 。 

加 载 文 件 后 ,可 以 选择 破解 方式 ,分 为 “运行 向 导 ” 选 择 预定 义 设置 "和 "高级: 自 定义 
设置 "三 个 选项 。 三 个 选项 中 ,最 为 简单 的 就 是 “选择 预定 义 设置 "破解 ,而 且 也 是 在 侦查 人 
员 对 可 能 设置 的 密码 一 无 所 知 时 候 的 最 佳 选择 。 

选择 预定 义 设置 破解 后 ,软件 会 自动 按照 默认 破解 方式 进行 破解 。Passware 会 按照 默 
认 的 定义 设置 顺序 执行 破解 流程 。 按 照 流程 可 以 破解 成 功 , 可 以 看 到 Word 文件 所 被 添加 
的 文件 打开 或 文件 修改 密码 。 

如 图 7. 149 所 示 , 本 例 密码 为 word1234。 此 密码 会 自动 被 Passware 保存 ,并 用 于 今后 
的 加 密 文 件 破解 中 。 当 再 次 遇 到 相同 的 密码 时 ,加 密 文件 会 被 瞬间 破解 。 

文件 下) 查看 WD 工具 XI) 帮助 0D 
(EEEESLONAE LS 0 虽 撮 本 媒 @@ 磺 


C:\Documents and Settings\kdainistrator\ 点 面 \z-ways16.0. doc 
癌 相 全 >: ns Yora 9r-z003 - 打开 要 码 -40 位 ac4 加 灾 
一 复杂 程度 .暴力 破解 一 快 


变 件 :x-ways16.0. doc 
: C:\Docunents and 本 


i Word 97-2003 - 打 : 40 位 BC4 加 窗 
;暴力 破解 一 快 
Mp5: A6046CTs6 | 


120P0059CAF03ADBD1AOO2C 
文件 -打开 密码 eeral23d | 侨 揪 号) < 持 由 > 
文件 -修改 过 码 RE) Al> 


图 7.149 ”密码 破解 成 功 
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。 使 用 "向 导 方式 破解 文件 密码 。 

“向 导 方 式 ? 是 通过 一 步 一 步 设置 破解 Passware 进行 密码 的 方式 和 流程 。 此 方法 能 够 
帮 侦 查 人 员 提 高 破解 密码 的 成 功率 ,适用 于 对 可 能 设置 的 密码 具有 一 点 了 解 的 侦查 人 员 。 
侦查 人 员 可 以 将 所 掌握 的 密码 位 数 . 大 小 写 组 合生 日 等 信息 进行 组 合 。 

加 载 文件 后 ,选择 第 一 项 “运行 向 导 ”。 

设置 密码 信息 。 如 果 侦 查 人 员 根 本 不 知道 任何 密码 信息 ,只 能 选择 “我 对 使 用 的 密码 一 
无 所 知 ”, 进 行 暴 力 破解 。 如 果 知 道 其 中 一 个 单词 ,或 者 一 个 以 上 的 单词 ,可 以 用 相 匹 配 的 方 
式 进行 设置 。 

如 图 7.150 所 示 , 已 知 设置 的 密码 是 word1234, 可 以 选择 第 三 项 “一 个 或 者 一 个 以 上 的 
字典 词汇 ,包含 字母 ,数字 ,符号 ”进行 破解 。 

C:\Documents and Settings\Adeinistrator\ 点 面 \x-ways16.0. doc 
BC4 加 密 


J | 保护 : WS Word 97-2003 -打开 密码 - 40 位 
复杂 程度 氏 力 丰 解 一 快 


密码 信息 
任何 有 关 的 信息 都 会 有 助 于 缩短 密码 破解 时 间 。 


密码 是 : 

口 一 个 字典 单词 的 如 : “apple”) 

加 包含 一 个 以 上 的 字典 词汇 5 例如 “greenapple”) 

略 一 个 或 者 一 个 以 上 的 字典 词汇 ， 包 合 字 和 母 、 数 字 、 符 号 邑 : “applelxyz” 或 “greenl23apple") 
加 不是 字典 词汇 ， 但 与 英语 单词 相 亿 嘱 风 0 : “softosl” 或 “jchnsspple”) 

OF 


图 7.150 设 定 “ 密 码 信息 ” 


选择 字典 的 语言 。 通 常设 置 为 英语? 字典。 但 是 如 果 嫌 疑 人 使 用 其 他 语种 ,可 以 选择 
不 同 语言 的 字典 。 

选择 字典 词汇 数量 ,例如 使 用 一 个 字典 或 两 个 字典 。 然 后 设置 密码 长 度 , 最 小 位 数 不 能 
高 于 你 所 知道 的 密码 位 数 ,最 大 位 数 不 能 低 于 你 所 知道 的 密码 位 数 。 如 果 你 精确 掌握 密码 
长 度 , 例 如 已 知 是 8 位 密码 ,可 以 设 定 密码 长 度 为 8 或 9 位 。 设 置 相应 的 密码 类 型 , W 代表 
字典 词汇 'N 代表 数字 。 此 时 可 取消 选中 “我 知道 关于 首先 非 字 典 式 部 分 的 信息 ”选项 

设置 字符 部 分 的 密码 规则 。 例 如 设 定 英文 字符 的 长 度 。 本 例 密码 中 字符 为 “word”, 此 
处 可 以 设置 为 3 或 4 位 。 在 “已 知 的 部 分 密码 组 成 方式 ”中 ,可 以 输入 你 所 知道 的 单词 。 如 
果 英 文 单词 中 有 字母 不 确定 或 者 知道 的 不 完整 ,可 以 用 x "或 “?” 来 代替 。 此 例 中 可 以 输入 
“wo * ”。 设 置 密 码 中 字母 大 写 和 单词 是 否 反 序 ,例如 “word” 是 否 反 序 为 “drow”。 

设置 完毕 后 ,Passware Kit 按照 向 导 设 定 的 条 件 开始 破解 ,很 快 可 以 破解 成 功 。 

。 利用 “高 级 : 自 定义 设置 ”方式 进行 破解 。 

“高 级 : 自 定义 破解 方式 "给予 侦查 人 员 最 大 的 控制 权 ,可 以 选择 希望 的 破解 方式 和 组 
合 破解 方式 。 如 果 对 可 能 设置 的 密码 掌握 比较 清楚 ,那么 可 以 通过 自 定义 方式 来 加 快 破解 
速度 。 
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选择 “高 级 : 自 定 义 设置 ”方式 ,选择 攻击 方式 和 破解 设置 。 

本 例 中 ,加 密 文 件 X-Ways16. 0. doc 所 设置 的 密码 是 magy851202。 通 过 该 密码 可 知 
道 ,需要 选择 字母 与 数字 组 合 的 密码 进行 破解 。 

首先 在 右 侧 的 列表 中 选中 “合并 破解 "。 选 择 合并 破解 添加 新 的 破解 任务 。 假 设 只 知道 
密码 前 两 位 "ma”, 选 择 * 已 知 密码 /部 分 ”设置 所 知道 的 密码 赋值 “ma”。 继 续 选择 "在 此 添 
加 新 的 破解 任务 ”, 添 加 “暴力 破解 ”", 设 置 除 赋值 字 码 外 的 英文 字母 长 度 , 本 密码 除 “ma" 之 
外 ,还 有 2 位 字符 。 设 定 长 度 为 2。 密码 类 型 选择 小 写字 符 。 继 续 选择 “在 此 添加 新 的 破解 
任务 位 置 ”, 添 加 一 个 “暴力 破解 ”设置 数 字 部 分 密码 的 长 度 ,密码 类 型 选中 数字 。 本 例 密码 
中 ,包含 的 数字 为 6 位 。 此 处 可 以 设置 为 6 或 7 位 .5 或 7 位 均 可 。 设 置 完成 后 ,选择 开始 
恢复 。 

2. PDF 文件 破解 

ElcomSoft 开发 的 Advanced PDF Password Breaker 是 一 个 快速 破解 PDF 文件 的 最 佳 
工具 。 该 软件 支持 所 有 版 本 的 Adobe Acrobat 3. x 到 8. x 的 各 种 加 密 算法 ,并 允许 用 户 打 
开 文 件 及 解除 应 用 于 PDF 文档 中 的 限制 。Advanced PDF Password Breaker 采用 直接 暴力 
破解 .字典 攻击 和 密 钥 搜索 的 方法 。 目 前 Advanced PDF Password Breaker 软件 有 三 个 版 
本 : 标准 版 ,专业 版 和 企业 版 。 标 准 版 可 以 轻松 去 除 编辑 和 打印 PDF 文档 的 限制 ,专业 版 
还 具有 取得 密码 以 打开 并 编辑 文件 的 功能 。 企 业 版 可 以 利用 预先 计算 的 雷 表 攻 击 密 钥 , 无 
须 口 令 即 可 打开 文件 。 


分 使 用 Advanced PDF Password Breaker 4.0 的 彩虹 表 破 解 功能 对 已 加 密 
的 PDF 文档 进行 解密 。 


工具 使 用 


如 图 7.151 所 示 : 

第 一 步 ,打开 加 密 文件 ; 

第 二 步 , 设 定 攻击 方法 。 为 了 实现 快速 破解 ,需要 选择 密 钥 攻击 ; 
第 三 步 ,切换 到 Key search 选项 ; 

第 四 步 ,选择 “使 用 预先 计算 的 彩虹 表 ”; 

最 后 , 单 击 Start 图 标 开始 口令 破解 。 

很 快 ,软件 自动 找到 密 钥 。 单 击 Decrypt Now 即 可 破解 PDF 文件 。 


7.12.4 浏览 器 类 密码 的 破解 
当前 很 多 浏览 器 为 了 更 好 的 用 户 体验 都 提供 了 自动 表单 功能 ,用 户 在 浏览 器 中 特定 网 


起 
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APDFPR 4.0 Enterprise Edition 


Nadobe JACCH2_CpdP” 
2009-1-11 10:38.55 - Document successfuly 
et 11 10:41:07 -File " ss. JACCH2_CpdF” 


站 Average speed 
Time elapsed: Time remamning 
Progress indicator 

0% 
|APDFPR version 4.00 [c) 2001-2007 ElcomSoht Co Ltd 


图 7.151 APDFPR 软件 界面 


页 上 面 输入 的 用 户 账户 及 密码 ,都 可 以 被 浏览 器 记录 并 加 密 存储 在 浏览 器 程序 文件 夹 中 ,这 
样 当 下 次 再 进入 这 个 网 页 时 ,浏览 器 就 能 够 自动 填写 相应 的 账户 密码 。 这 一 功能 大 大 方便 
了 用 户 ,在 另 一 方面 也 为 网 络 犯罪 侦查 工作 提供 了 更 多 的 数据 。 

OS Forensics 是 由 PassMark Software 公司 开发 的 一 款 计算 机 数据 综合 分 析 软 件 , 除 
了 能 够 做 到 对 浏览 器 中 残留 的 网 络 历史 记录 、 下 载 记录 等 数据 的 解析 ,还 能 够 对 浏览 器 的 加 
密 数据 库 进行 解密 ,适用 的 浏览 器 包括 Internet Explorer(4. 0 版 一 10. 0 版 )、Mozilla 
Firefox( 所 有 版 本 )、Google Chrome、Safari、Opera 和 SeaMonkey, 如 图 7.152 所 示 。 除 了 
对 浏览 器 类 密码 解密 之 外 ,OS Forensics 还 支持 Windows 用 户 账 户 密码 获取 、 彩 虹 表 以 及 
Office 文档 解密 。 


工具 使 用 


在 左边 的 菜单 栏 中 选取 Passwords 选项 ,在 页 面 右边 选择 Find Browser Passwords 选 
项 卡 , 单 击 Retrieve Passwords 按钮 , 则 用 户 浏览 的 网 页 中 输入 的 账户 名 及 密码 即 可 显示 出 
来 ,如 图 7. 153 所 示 。 
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Hashing & Fle ldentfication 


区 由 辐 急 名 


NewHash = NewHashSet DeseHash 。 Cesle Sonsue 
Dasbase 


用 所 区 过 昌 黄 己 


TI 


电邮 


图 7.152 OS Forensics 启动 界面 


H 
es 
Find Browser Passwords [Generale Fanbow Table | 
[hetieve Pasowads | @ Live Acquisiion of Curent Machine & © ScanDive [C\ - 
URL Username Password Browser Black ^ 
https://www.comsec. com au 到 Fiefoy No 
https://www.comsec. com au Fiefox No 
https://www.caplena com/logn We 加 Chrome No 
https://www bulguard com i Fiefoy No 
https /www bpngov Fiefox 


https://www.amazon.com/ap/sigonin Chrome 


Fuefox 


https://heconsole netiegstl Copy URL Fiefox No 
hitps:/Aestintranet savet Firefox No 
hlps//suppontcomnectw ca] 。 Copy Windows User Fefon No 
https://support ca.com Copy Location Fiefox No 
hitps://signin ebay.com au Open URL i Chrome No 
hitps://signin ebay.com au Intemet Explorer No 


hitps://signin ebay com au 


Erport Litn Ger a Fiefox No 
7.153 ”OS Forensics 浏览 器 类 密码 解密 
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7.12.5 移动 设备 密码 破解 

移动 设备 相对 于 PC, 其 加 密 强 度 较 低 ,密码 破解 有 一 定 的 技巧 。 下 面 以 Android 设备 
为 例 说 明 。 

Android 手机 屏幕 锁 共 分 为 两 种 模式 : 一 种 为 图 形 锁 ， -种 为 数字 密码 ,如 图 7. 154 
所 示 。 当 用 户 eat 向 导 选 择 相应 的 锁 屏 方式 ,并 完成 设 定之 后 ,系统 会 生成 相应 的 密码 
存储 文件 , 分别 为 gesture. key 和 password. key, 这 两 个 文 件 的 存储 路 径 均 在 /data 
system/ 路 径 下 ,gesture. key 存放 图 形 锁 ,password. key 存放 数字 密码 。 


图 7.154 图 形 锁 和 数字 密码 


Android 的 九宫 格 图 形 锁 的 构成 有 一 定 的 规律 。 这 个 规律 运算 次 数 是 有 限 次 的 ,可 以 
编写 彩虹 表 。 首 先 从 需要 解锁 的 手机 中 提取 到 记录 图 形 锁 信 息 的 gesture. key 文件 ,如 
图 7.155 所 示 。 


ciWrootkit>adb pull /data/system/gesture. key c:\get\gesture. key 
2 KB/s (20 bytes in 0.009s) 


图 7.155 记录 图 形 锁 信 息 的 gesture. key 文件 


疹 后 利用 带 有 彩虹 表 的 破解 工具 ,可 以 达到 恢复 九宫 格 图 形 锁 的 目的 


第 7 章 ， 网 络 犯罪 侦查 技术 345 


7.12.6 其 他 密码 的 破解 


1，Wir-Fi 密码 破解 

WirelessKeyView 也 是 由 NirSoft 开发 的 另 一 工具 ,专门 用 于 快速 查看 Windows 本 地 
存储 的 Wi-Fi 无 线 网 络 密码 ,使 用 同 WebBrowserPassView 类 似 , 运 行 主 程序 之 后 ,软件 自 
动 从 系统 中 提取 所 保存 的 Wi-Fi 账户 和 密码 。 


分 使 用 WirelessKeyView 查看 主机 Wi-Fi 密码 ,如 图 7.156 所 示 。 


工具 使 用 


Fle Edit View Help 


Eb- EETEE)! 


Key (Hex) Adapter Guid 

W Hu-。 WPA2-PSK 333937393135353500 39791555 Intel(R) WiFi 链 拉 5100 AGN (B6A97238-3CA9-406E-91. 
WLUL.. WPA2-PSK 7468487764624e5641724.。 thHwdbNVArKca#kbQTxn..。 Microsoft 托管 网 络 虚拟 适配器 {E4DFEOF6-25E6-4FE0-9E6C- 
Wism-，WPA2-PSK 383638333338323100 jntel(R) WiFi 链 捷 5100 AGN ({B6A9723B-3CA9-406E-9146- 
WO sm-.，WPA2-PSK 383638333338323100 8683: lntel(R) WiFi 链接 5100 AGN (B6A9723B-3CA9-406E-91. 

BW sm. WPA2-PSK 383638333338323100 lntel(R) WiFi 链接 5100 AGN {B6A97238-3CA9-406E-91. 
WTP-.. WPA2-PSK 6c6e6a6767647a6b78787. lnjggdzlooooox jntel(R) WiFi 性 按 5100 AGN (B6A97238-3CA9-406E-91. 
ee > 


图 7.156 WirelessKeyView 查看 主机 Wi-Fi 密码 


2. MDS5 密码 破解 

md5online. net 是 一 个 可 以 破解 MD5 密码 的 免费 网 站 。 如 果 遇 到 某 些 MD5 密码 ,可 
以 尝试 利用 该 网 站 进行 破解 ,如 果 无 法 破解 ,再 利用 其 他 软件 或 GPU 分 布 式 密码 破解 的 方 
法 进行 暴 击 破解 。 此 类 站 点 较 多 ,可 以 日 常 多 加 关注 .找到 功能 最 强 的 破解 网 站 。 


分 使 用 md5online. net 网 站 对 一 个 网 站 密码 的 MD5 哈 希 值 ; 
51f2b7b14433aa22c67dlf4fc18943cd 进行 解密 。 


工具 使 用 
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登录 md5online. net, 选 择 MD5 一 之 Pass 命令 ,表示 希望 利用 MD5 哈 希 值 破解 密码 , 然 
后 将 此 段 MD5 值 复制 到 窗口 中 , 单 击 Submit 按钮 提交 ,结果 如 图 7.157 所 示 。 


Decrypt 


图 7.157 破解 MD5 哈 希 密码 


7.12.7 加 密 容器 破解 


破解 BitLocker 和 TrueCrypt 加 密 硬盘 

BitLocker 使 用 TPM 帮助 保护 Windows 操 统 和 用 户 数据 ,并 帮助 确保 计算 机 即 
使 在 无 人 参与 .丢失 或 被 瓷 的 情况 下 也 不 会 被 算 改 数据 

对 于 使 用 了 Windows BitLocker 加 密 的 硬盘 ,Passware 专门 提供 了 恢复 硬盘 密码 功 
能 ,并 能 提供 针对 于 BitLocker 和 TrueCrypt 这 两 种 加 密 方 式 的 破解 方法 。 但 是 ,如 果 计 算 
机 硬盘 被 进行 了 整 盘 加 密 , 则 需要 使 用 Passware 附加 工具 中 的 Passware 火线 内 存 镜像 工 
具 , 先 获取 计算 机 的 内 存 镜像 ,然后 Passware 就 会 自动 搜索 内 存 镜像 中 特定 位 置 所 保存 的 
BitLocker 秘 钥 进行 破解 (如 图 7.158 所 示 ) 


7.12.8 人 小结 


密码 是 复杂 、 难 以 捉摸 的 ,其 种 类 和 强度 都 超过 人 类 运算 能 力 的 极限 。 因 此 ,密码 二 
解 需要 设备 和 软件 的 辅助 由 四 i 和 码 hn Ne et 自己 的 Ne 计算 
机 科学 3 
击 犯罪 的 目的 。 


1. 简 述 网 络 侦查 技术 的 科学 原理 。 
2. 简 述 网 络 侦查 技术 与 网 络 侦查 技术 措施 的 区 别 。 
3. 以 小 端 ANSI 编码 保存 "CED2B0OAEC4E3” 的 简体 中 文 内 容 是 什么 ? 
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1D:0 
Edternal Key File Name: no password is set 


~ \ Posrwords Perfommance XArtacks 


| sly 


图 7.158 利用 Passware 破解 加 密 硬盘 


. 简 述 流量 复制 的 两 种 方式 。 

. 简 述 网 络 数据 追踪 技术 。 

. 已 知 网 站 域名 ,如 何 获取 网 站 创建 者 身份 信息 ? 如 何 获取 服务 器 所 在 的 物理 位 置 ? 
. 网 络 犯罪 侦查 中 为 什么 要 使 用 数据 关联 比 对 技术 ? 

。 哪些 数据 可 以 进行 数据 关联 比 对 ? 

. 简 述 网 络 数据 分 析 的 流程 ? 

10. 文件 时 间 由 哪 几 类 ? 

11. 简 述 Windows 服务 器 数据 分 析 。 

12. 简 述 Linux 服务 器 数据 分 析 。 

13. 简 述 嗅 探 的 工作 原理 。 

14. 如 何 利用 Wireshark 对 访问 公安 部 的 过 程 进行 嗅 探 ? 
15. 简 述 日 志 分 析 的 思路 。 

16. 简 述 IIS 日 志 分 析 的 流程 。 

17. 如 何 查看 Foxmail 的 邮件 头 ? 

18. 简 述 数据 库 的 在 线 分 析 过 程 。 
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19, 
20. 
21. 
22. 
23. 
24. 
25. 
26. 


路 由 器 分 析 的 注意 事项 有 哪些 ? 
如 何 查看 TP-LINK 路 由 器 的 默认 账户 信息 ? 


简 述 有 线 渗透 技术 。 


社会 工程 学 的 类 型 有 哪些 ? 


什么 是 社会 工程 学 攻 


?7 


简 述 恶意 软件 的 运行 机 制 。 
如 何 查找 一 个 恶意 软件 ? 
Windows 开机 密码 的 破解 方式 有 哪些 ? 


电子 数据 取证 


本 章 学 习 目标 

。 电子 数据 取证 的 概念 .法律 规定 ,以 及 与 网 络 犯 罪 侦查 的 关系 
。 侦查 思维 和 证 据 意 识 的 培养 与 运用 

。 网 络 犯罪 侦查 中 单机 、 服 务 器 以 及 网 络 电子 数据 取证 的 流程 
。 网 络 犯罪 侦查 中 电子 数据 检验 和 鉴定 的 流程 及 要 点 


在 网 络 犯罪 侦查 中 ,电子 数据 取证 和 使 用 贯穿 整个 侦查 和 诉讼 阶段 ,无论 是 在 受 案 阶段 
对 受害 人 电子 数据 存储 介质 的 勘 验 ,还 是 在 侦查 阶段 对 案件 线索 的 挖掘 和 分 析 , 还 是 在 诉讼 
阶段 呈 堂 展示 和 重 现 ,都 离 不 开 电 子 数 据 取证 提供 技术 支持 和 证 据 支 撑 。 电 子 数据 取证 可 
谓 是 网 络 犯罪 侦查 工作 的 生命 线 ,电子 数据 取证 工作 的 质量 将 直接 影响 网 络 犯罪 案件 的 侦 
破 成 败 和 打击 效果 。 本 章 对 电子 数据 取证 进行 了 概述 ,阐述 了 电子 数据 取证 与 网 络 犯罪 侦 
查 的 关系 ,介绍 了 侦查 思维 和 证 据 意 识 的 培养 与 运用 以 及 网 络 犯罪 侦查 中 电子 数据 取证 的 
思路 和 方法 。 


8.1 电子 数据 取证 概述 


8.1.1 电子 数据 概述 


网 络 犯罪 是 计算 机 网 络 出 现 后 产生 的 新 型 犯罪 ,留存 的 信息 以 二 进 制 代码 的 虚拟 形式 
存在 ,这 些 信息 “看 不 见 、 摸 不 到 ”。 在 办 理 网 络 犯罪 案件 的 过 程 中 ,电子 数据 具有 极其 重要 
的 地 位 ,是 最 重要 的 证 据 。 

在 网 络 犯罪 侦查 发 展 初期 ,关于 网 络 犯罪 涉及 的 信息 在 国内 外 定义 多 样 ,例如 “计算 机 
证 据 “ 电 子 证 据 “ 数 字 证 据 ” 等 。 在 公安 系统 内 部 ,也 存在 着 多 种 称谓 ,例如 网 络 安全 保卫 
部 门 曾 使 用 “电子 证 据 ”, 而 刑事 犯罪 侦查 部 门 使 用 “电子 物证 ”, 名 称 的 不 统一 不 利于 法 律 的 
实施 ,也 不 利于 网 络 犯罪 侦查 的 开展 。 

精准 和 统一 的 名 称 界定 ,对 于 科学 体系 和 侦查 实践 具有 重要 意义 ,并 且 也 符合 法 律 实践 
的 要 求 。2013 年 1 月 1 日 施行 的 (中 华人 民 共 和 国 刑事 诉讼 法 ) 第 四 十 八条 规定 了 证 据 的 
第 八 种 类 型 一 一 电子 数据 。 
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这 是 我 国法 律 首次 将 “电子 数据 ? 列 和 证据 类 型 之 中 。 继 而 《民事 诉讼 法 兴 行 政 诉讼 法 》 
都 将 “电子 数据 ” 列 为 证 据 类 型 。 从 而 在 国家 法 律 层 面 对 “ 电 子 数据 "这 一 名 称 进行 了 统一 的 
界定 。 

在 坚持 法 律 定义 的 前 提 下 ,根据 电子 数据 取证 的 特点 ,将 电子 数据 做 以 下 定义 :“ 电 子 
数据 ,就 是 信息 数字 化 过 程 中 形成 的 以 数字 形式 存在 的 能 够 证 明 案 件 事实 情况 的 数据 。” 


8.1.2 电子 数据 的 特点 


电子 数据 具有 如 下 特征 。 

1. 电子 数据 具有 虚拟 性 

所 有 的 电子 数据 都 是 基于 计算 机 应 用 和 通信 等 电子 化 技术 形成 的 用 来 表示 文字 、 图 形 
符号 .数字 字母 等 信息 的 资料 。 与 其 他 证 据 种 类 不 同 , 电 子 数据 从 本 质 上 说 是 以 电子 形式 
存储 或 者 传输 的 数据 。 

2. 电子 数据 具有 开放 性 

从 司法 实践 来 看 ,作为 证 据 使 用 的 电子 数据 越 来 越 与 日 益 开放 的 互联 网 联系 在 一 起 ,而 
网 络 电子 数据 的 一 个 重要 特点 是 可 以 不 受 时 空 限制 获取 数据 。 就 传统 证 据 种 类 而 言 , 必 须 
前 往 一 定 的 场所 ( 案 发 现场 或 者 其 他 证 据 存在 处 ) 或 者 询问 一 定 的 对 象 (证 人 、 被 害 人 ) 才 能 
获取 ,而 获取 一 些 电 子 数据 却 可 以 通过 一 定 的 技术 不 受 时 空 限制 地 获取 ,这 是 电子 数据 开放 
性 的 表现 ,也 是 该 类 证 据 的 收集 亚 须 规范 的 地 方 。 

3. 电子 数据 具有 易 变 性 与 稳定 性 并 存 的 特征 

就 传统 证 据 而 言 ,一般 认为 ,诸如 证 人 证 言 之 类 的 言词 证 据 存 在 易 变 性 的 特征 ,而 物证 
等 实物 证 据 具有 稳定 性 的 特征 。 但 就 电子 数据 而 言 , 一 方面 ,这 类 证 据 是 以 电子 数据 形式 存 
在 的 ,只 需要 敲 击 键盘 或 其 他 输入 设备 , 即 可 对 其 进行 增加 、 删 除 、 修 改 ,可 谓 具 有 易 变 性 ; 
而 另 一 方面 , 绝 大 多 数 情 况 下 对 于 电子 数据 的 增加 删除、 修改 都 会 留 有 一 定 的 痕迹 ,而 且 被 
破坏 的 数据 多 数 情况 都 可 以 通过 技术 被 恢复 到 破坏 前 的 状况 ,这 就 足以 体现 该 类 证 据 的 稳 
定性 。 


8.1.3 电子 数据 取证 的 定义 


如 同 “ 电 子 数据 "初期 的 定义 混乱 “电子 数据 取证 ”也 在 不 同 发 展 阶段 ,不 同 的 主体 赋予 
了 不 同 的 名 称 。 例 如 “电子 证 据 取 证 、 电 子 证 据 检 查 、 计 算 机 犯罪 现场 勘 验 ”等 等 。 依 据 ( 刑 
事 诉讼 法 欠 民 事 诉 讼 法 XX 行政 诉讼 法 ) 对 于 “电子 数据 ”的 界定 , 现 统一 为 “电子 数据 取证 ”这 
一 名 称 。 

在 侦查 过 程 中 ,电子 数据 取证 的 目标 是 “电子 数据 ,使 用 的 方法 是 获取 和 证 实 。 电 子 数 
据 取 证 是 一 个 动态 的 过 程 。 对 于 电子 数据 取证 来 说 , 取 和 证 是 一 个 闭环 的 过 程 , 最 终 的 目标 
是 形成 “证 据 链 ”。 电 子 数据 取证 以 法 律 和 技术 为 基础 ,服务 于 侦查 。2005 年 公安 部 发 布 实 
施 的 (计算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 ) 第 四 条 规定 :“ 计 算 机 犯罪 现场 勘 验 与 电 
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子 证 据 检查 的 任务 是 ,发 现 、 固 定 、 提 取 与 犯罪 相关 的 电子 证 据 及 其 他 证 据 , 进 行 现场 调查 访 
问 ,制作 和 存储 现场 信息 资料 ,判断 案件 性 质 , 确 定 侦查 方向 和 范围 ,为 侦查 破案 提供 线索 和 
证 据 .” 从 以 上 规定 看 出 ,电子 数据 取证 不 仅 要 获取 、 固 定 证 据 , 而 且 还 要 挖掘 案件 线索 、 确 定 
侦查 方向 ,贯穿 于 整个 侦查 过 程 中 。 

基于 以 上 的 事实 ,电子 数据 取证 的 定义 是 “基于 侦查 思维 ,采用 取证 技术 ,获取 ,分 析 、 固 
定 电子 数据 作为 认定 事实 的 科学 过 程 ”。 这 是 能 够 为 法 庭 接受 的 .足够 可 靠 和 有 说 服 性 的 、 
存在 于 网 络 设备 中 的 电子 数据 的 确认 保护、 提取 和 归档 的 过 程 。 


8.1.4 电子 数据 取证 与 网 络 犯罪 侦查 的 关系 


在 传统 犯罪 侦查 中 ,通常 把 取证 视 作 支撑 司法 诉讼 的 一 项 工作 ,其 证 据 作用 大 于 侦查 作 
用 。 这 产生 了 一 个 误区 , 即 侦查 是 发 现 线索 ,取证 则 是 固定 证 据 。 侦 查 是 侦查 人 员 的 工作 范 
畴 ,取证 是 技术 人 员 的 业务 范围 ,这 从 根本 上 将 侦查 和 取证 二 者 对 立 起 来 。 网 络 犯罪 侦查 的 
主要 特点 是 ,线索 和 证 据 都 是 虚拟 的 ,并 不 以 “物证 ”的 形式 存在 ,而 是 以 “电子 数据 ”的 形态 
出 现 。 这 使 得 电子 数据 取证 虽然 是 网 络 犯罪 侦查 的 一 个 环节 ,但 是 其 作用 范围 却 涵盖 整个 
侦查 过 程 。 在 网 络 犯罪 侦查 中 ,电子 数据 取证 与 侦查 密 不 可 分 、 互 为 一 体 。 

电子 数据 取证 的 主体 是 具备 相关 专业 知识 的 侦查 人 员 , 而 不 是 特定 的 具备 鉴定 资质 
的 检验 鉴定 人 员 。 从 根本 上 说 明 电子 数据 取证 是 侦查 人 员 应 当 具 备 的 基本 能 力 。 电 子 数据 
取证 在 侦查 中 不 但 可 以 发 现 线索 .获取 情报 ,而 且 可 以 固定 证 据 。 与 其 他 证 据 相 比 ,电子 数 
据 是 网 络 犯罪 侦查 特有 的 并 起 到 不 可 替代 作用 的 证 据 类 型 (参见 图 8. 1) 。 


电子 数据 取证 具有 勘 验 、 分 析 、 检 验 /鉴定 等 功能 ,涵盖 了 网 1 
络 犯罪 侦查 的 受 案 立 案 、 侦 查 抓 捕 、 诉 讼 等 整个 过 程 。 ara| || 
01) 在 网 络 犯 罪案 件 受理 立案 阶段 。 通 过 电子 数据 取证 ,人 


证 据 


查 机 关 根 据 对 网 络 犯罪 现场 的 勘 验 受害 者 的 电子 数据 分 析 、 检 
验 /鉴定 等 取证 情况 决定 是 否 予以 立案 ,为 侦查 机 关 领 导 决策 担 图 8.1 电子 数据 的 作用 
供 依据 。 

(2) 在 网 络 犯罪 案件 侦查 抓 捕 阶 段 。 不 仅 通过 对 现场 勘 验 .扣押 犯罪 嫌疑 人 及 其 关系 
人 或 调 取 受 害 人 所 使 用 的 电子 设备 进行 电子 数据 分 析 , 可 以 挖掘 案件 线索 ,指明 侦查 方向 ， 
发 现 犯罪 嫌疑 人 的 逃跑 方向 . 同 案 人 员 ,作案 方式 等 破案 关键 要 素 ,为 查 清 案件 的 来 龙 去 脉 、 
快速 抓 捕 犯 罪 嫌疑 人 提供 重要 参考 依据 ,而 且 还 能 够 实时 提取 、 固 定 正在 实施 的 网 络 犯罪 过 
程 的 电子 数据 证 据 , 特 别 是 对 于 黑客 入 侵 、 网 络 赌博 、 网 络 诈骗 等 网 络 犯 罪案 件 ,在 侦查 过 程 
中 ,违法 犯罪 行为 可 能 会 持续 进行 ,而 且 存储 在 网 络 中 的 电子 数据 极 易 受 到 犯罪 嫌疑 人 的 破 
坏 , 这 就 需要 在 侦查 过 程 中 ,通过 持续 性 的 电子 数据 取证 及 时 固定 证 据 。 

(3) 在 网 络 犯罪 案件 司法 诉讼 阶段 。 一 方面 电子 数据 取证 过 程 提供 的 勘 验 笔录 、 分 析 


@ 《关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 )( 公 通 字 [2014]10 号 ) 。 
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报告 .检验 报告 ,鉴定 意见 能 够 与 其 他 物证 组 成 完整 的 证 据 链 ; 另 一 方面 电子 数据 取证 的 相 
关 工 具 能 够 将 虚拟 化 的 电子 数据 以 直观 可 视 的 形式 进行 呈 堂 展示 ,并 提供 必要 的 专家 意见 ， 
使 抽象 难 懂 的 专门 技术 知识 更 易于 被 诉讼 人 员 理 解 ,为 法 官 作出 客观 .合理 的 审判 提供 技术 
支持 和 证 据 支 撑 。 


8.2 侦查 思维 和 证 据 意识 


侦查 与 取证 密 不 可 分 ,侦查 思维 与 证 据 意识 是 侦查 活动 的 基础 ,侦查 思维 和 证 据 意 识 相 
结合 ,才能 迅速 有 效 地 从 大 量 电 子 数据 中 发 现 违法 犯罪 活动 留 下 的 蛛丝马迹 ,厘清 破案 线 
索 , 确 定 侦查 方向 .固定 犯罪 证 据 。 网 络 犯罪 侦查 没有 电子 数据 支撑 ,侦查 工作 将 受到 阻 滞 ; 
没有 侦查 工作 ,电子 数据 取证 没有 来 源 和 依据 。 二 者 的 互相 融合 表现 在 两 方面 : 一 方面 网 
络 犯罪 侦查 人 员 要 具有 证 据 意识 ,在 具有 证 据 意识 的 基础 上 ,需要 了 解 掌握 基本 的 电子 数据 
取证 知识 和 技能 ; 另 一 方面 电子 数据 取证 人 员 要 具有 侦查 思维 ,在 具有 侦查 思维 的 基础 上 ， 
才能 准确 把 握 网 络 犯罪 侦查 的 证 据 要 点 和 运用 取证 技术 。 

侦查 思维 是 侦查 人 员 运 用 侦查 方法 措施 .对 策 来 分 析 案 情 ,收集 证 据 、 发 现 和 查缉 犯罪 
嫌疑 人 的 智能 活动 ; 侦查 技术 是 侦查 人 员 在 侦查 过 程 中 对 发 现 ,收集 能 证 明 犯 罪 嫌 疑 人 犯 
罪 事实 的 证 据 而 应 有 的 一 种 认 知 .运用 能 力 。 


侦查 思维 在 电子 数据 取证 中 的 运用 


侦查 与 取证 不 是 截然 不 同 的 工作 。 取 证 人 员 要 培养 良好 的 侦查 思维 习惯 ,将 侦查 思维 
贯穿 取证 过 程 。 很 多 情况 下 ,取证 人 员 面 对 海量 电子 数据 ,因为 不 了 解 案情 ,无 法 做 出 准确 
的 判断 ,从 而 无 法 选择 最 优 的 工作 方法 和 路 径 。 

侦查 思维 的 运用 , 既 有 助 于 取证 人 员 走 出 单纯 追求 技术 的 象牙 塔 ,而 且 还 能 够 充分 发 挥 
取证 技术 优势 ,进行 数据 的 挖掘 、 关 联 、 磁 撞 ,提高 电子 数据 取证 的 针对 性 、 人 逻辑 严谨 性 和 工 
作 效 率 , 更 好 地 为 打击 网 络 犯罪 服务 。 

电子 数据 取证 人 员 侦 查 思 维 的 养 成 不 仅 需 要 掌握 各 种 思维 方法 和 技巧 ,进行 多 种 知识 
的 积累 和 社会 阅历 的 积淀 ,更 需要 在 日 常 思维 中 注重 思维 素质 的 培养 与 训练 。 

同时 ,在 当前 我 国 的 法 律 规定 中 ,侦查 人 员 具 有 勘 验 分析 现场 .网络 或 存储 介质 中 电子 
数据 的 职责 ,这 些 勘 验 、 分 析 工 作 都 属于 电子 数据 取证 范畴 。 网 络 犯 罪 侦 查 取 证 人 员 要 努力 
培养 自身 的 证 据 意 识 , 充 分 认识 证 据 在 刑事 诉讼 中 的 地 位 和 作用 ,树立 依法 办 案 、 文 明 办 案 、 
规范 办 案 的 工作 作风 和 良好 的 司法 习惯 。 所 有 的 侦查 实践 ,最 终 的 呈现 方式 是 “证 据 ”, 因 此 
在 侦查 实践 中 ,网 络 犯罪 侦查 人 员 应 当 把 电子 数据 取证 作为 一 项 基本 素质 和 基础 业务 ,了 解 
电子 数据 的 特点 ,数据 恢复 的 基本 原理 、 取 证 技术 实现 以 及 对 侦查 实践 的 支持 ,掌握 单机 、 服 
务 器 、 网 络 电子 数 据 取 证 的 基本 思路 和 方法 以 及 电子 数据 证 据 在 网 络 犯 罪 定罪 量刑 中 的 要 
点 ,认定 和 审查 。 
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8.3 电子 数据 取证 的 原则 与 基本 流程 


8.3.1 电子 数据 取证 的 原则 


根据 国际 通行 的 取证 原则 ,结合 我 国 实际 和 司法 实践 ,电子 数据 取证 应 遵循 以 下 基本 
原则 。 

1. 取证 流程 遵守 国家 和 地 方 的 法 律 法 规 

从 事 取 证 的 人 员 具 有 法 律 的 授权 。 无 论 是 侦查 人 员 还 是 取证 人 员 , 开 展 电子 数据 取证 
时 都 应 遵守 国家 和 地 方 的 相关 法 律 法 规 ,比如 (关于 办 理 网 络 犯 罪案 件 适 用 刑事 诉讼 程序 若 
干 问 题 的 意见 ) 等 规定 了 电子 数据 取证 的 流程 。 同 时 ,取证 人 员 要 在 取得 “搜查 证 ”等 法 律 手 
续 , 并 经 所 在 单位 相关 领导 审批 , 方 可 依法 进行 取证 。 

2. 采取 可 靠 的 技术 方法 和 规范 的 取证 流程 保证 电子 数据 的 完整 性 、 真 实 性 和 连续 性 

电子 数据 具有 易 臭 改 的 特性 ,取证 时 必须 采取 哈 希 校 验 、 介 质 克隆 、 照 相 摄 像 等 技术 方 
法 ,保证 电子 数据 在 获取 、 勘 验 、 分 析 、 检 验 / 鉴 定 、 移 送 , 保 管 . 旦 堂 等 过 程 中 没有 发 生 改 变 ， 
并 具有 完整 的 使 用 记录 和 交接 记录 ,并 保证 记录 的 连续 性 ,即使 因 取证 需要 对 非 关 键 性 数据 
的 污染 也 要 有 相关 记录 、 方 法 依据 、 过 程 录像 等 ,确保 电子 数据 处 于 受 控 状 态 。 

3， 从 事 电子 数据 取证 的 人 员 必 须 经 过 专业 的 培训 ,使 用 符合 要 求 的 取证 装备 

一 方面 ,电子 数据 取证 是 一 项 严谨 的 科学 工作 ,从 事 电子 数据 取证 的 人 员 要 经 过 必要 的 
技术 知识 、 法 律 知识 、 侦 查 知识 等 培训 方 可 上 岗 工 作 ; 另 一 方面 ,电子 数据 取证 所 用 到 的 软 
硬件 装备 与 常规 计算 机 软件 和 硬件 有 所 不 同 ,取证 装备 更 加 注重 对 原始 存储 介质 数据 的 安 
全 ,复制 数 据 的 全 面 以 及 分 析 数 据 的 透彻 ,比如 电子 数据 取证 用 的 只 读 设备 不 仅仅 是 能 够 读 
取 原 始 存储 介质 内 的 数据 ,而 且 还 要 确保 原始 存储 介质 内 的 数据 不 能 受到 污染 。 


8.3.2 电子 数据 取证 的 基本 流程 


电子 数据 取证 是 通过 对 电子 数据 存储 介质 进行 获取 、 勘 验 、 分 析 、 检 验 /鉴定 等 活动 ,从 
中 发 现 与 案件 相关 的 线索 .证 据 的 过 程 , 取 证 流程 是 否 科学 、 合 理 ,将 直接 影响 电子 数据 证 据 
的 质量 和 有 效 性 。 一 般 来 说 ,电子 数据 取证 流程 分 为 评估 、 获 取 、 分 析 、 报 告 四 个 步 又 。 
1. 评估 
电子 数据 取证 人 员 在 取证 工作 前 和 取证 过 程 中 ,要 了 解 与 取证 目标 相关 的 情况 ,进行 全 
面 评估 ,确定 取证 工具 、 方 法 、 顺 序 等 取证 相关 工作 的 方案 。 具 体 来 说 主要 包括 : 
。 核验 取证 需求 方 提供 的 相关 法 律 手 续 , 如 受 案 登 记 表 、 立 案 决 定 书 .扣押 上 物品 清 
单 等 。 
。 履行 审批 程序 并 获得 法 律 授权 ,如 取证 需求 方 的 搜查 证 、 扣 押 决 定 书 、 取 证 机 构 内 部 
审批 流程 等 。 
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。 了 解 询问 案情 以 及 受害 人 和 嫌疑 人 的 有 关 情 况 , 如 侦查 部 门 掌 握 的 与 取证 目标 相关 
的 案件 情况 ,受害 人 和 嫌疑 人 的 计算 机 水 平 . 取 证 目标 数据 权限 分 配 情况 等 。 
。 确定 取证 目标 。 根 据 案 情 和 取证 要 求 ,明确 哪些 电子 设备 .电子 数据 及 其 相关 传统 
物证 需要 进行 取证 ,确定 取证 目标 的 类 型 及 数量 ,如 硬盘 .图片 .文档 数据 库 等 。 
。 了解 取证 目标 的 环境 ,如 家 庭 单机 、IDC 机 房 服务 器 集群 .境外 或 异地 的 远程 电子 数 
据 、 与 取证 相关 的 电子 设备 操作 权限 等 。 
。 制定 取证 策略 ,如 取证 的 顺序 、 预 案 、 方 法 ,是 否 需 要 先 提 取 传 统 物证 等 。 
。 确定 取证 人 员 ,结合 取证 人 员 特 长 和 取证 目标 情况 ,指定 两 名 以 上 取证 人 员 。 
。 确定 取证 装备 ,如 硬盘 只 读 设备 .复制 设备 .手机 取证 设备 .信号 屏蔽 设备 、 备 用 电 
源 、 备 用 存储 等 。 
2. 获取 
为 避免 电子 数据 取证 目标 遭 到 破坏 ,固定 其 原始 状态 ,取证 人 员 需 要 通过 技术 措施 获取 
与 违法 犯罪 相关 的 电子 数据 ,为 后 续 的 分 析 、 检 验 /鉴定 提供 原始 检 材 。 获 取 电 子 数据 不 仅 
包括 在 勘 验 过 程 中 提取 、 固 定 现 场 或 网 络 中 的 电子 数据 ,而 且 还 包括 在 分 析 、 检 验 /鉴定 过 程 
中 ,为 避免 或 减少 对 电子 数据 原始 存储 介质 的 破坏 ,在 写 保护 (只 读 ) 技 术 措 施 保障 下 ,提取 、 
复制 存储 介质 中 的 电子 数据 。 获 取 主 要 分 为 镜像 获取 和 数据 获取 。 
1) 镜像 获取 
镜像 获取 是 对 源 存储 介质 进行 逐 比 特 位 的 复制 , 既 可 以 进行 全 盘 逐 比特 位 复制 ,也 可 以 
进行 分 区 逐 比特 位 复制 ,镜像 获取 时 不 会 改变 数据 内 容 。 镜 像 获 取 通 常 通过 硬件 设备 或 软 
件 工具 进行 ,硬件 设备 从 底层 硬件 接口 对 硬盘 进行 逐 比 特 的 克隆 ,大 部 分 具有 写 保 护 功 能 ， 
获取 速度 比较 快 ,是 目前 首选 的 镜像 获取 方法 ,软件 工具 一 般 是 在 硬件 设备 无 法 支持 的 场合 
使 用 ,比如 对 不 易 拆 解 的 上 网 本 的 硬盘 进行 镜像 获取 等 。 一 些 镜像 获取 硬件 设备 或 软件 工 
有 具 具有 压缩 、 校 验 、 时 间 惟 、 日 志 等 功能 。 
2) 数据 获取 
对 于 正在 运行 的 计算 机 等 无 法 进行 镜像 获取 的 场合 ,只 能 根据 案件 的 需要 ,对 特定 文件 
或 者 数据 进行 有 针对 性 的 获取 ,获取 的 数据 价值 一 般 较 高 。 数 据 获 取 主 要 有 文件 获取 和 易 
失 性 数据 获取 两 种 情况 。 文 件 获取 主要 用 于 获取 特定 文件 的 情形 ,如 黑客 人 侵 案 件 中 ,提取 
Web 上 日志、 系统 日 志 、 备 份 数据 库 等 : 易 失 性 数据 获取 主要 用 于 提取 、 固 定 嫌疑 人 正在 使 用 
并 运行 的 计算 机 或 正在 被 侵害 的 计算 机 中 寄存 器 、 缓 存 或 内 存 中 的 用 户 信息 .时 间 信 息 、 进 
程 列表 、 当 前 打开 的 套 接 字 列 表 、 在 打开 的 套 接 字 上 监听 的 应 用 程序 等 会 遭 到 破坏 或 在 计算 
机 系统 关闭 后 会 丢失 且 不 能 恢复 的 数据 , 易 失 性 数据 的 获取 需要 综合 考虑 获取 目标 计算 机 
系统 的 性 质 和 安全 管理 的 相关 规定 来 决定 是 否 保持 计算 机 继续 运行 以 获取 易 失 性 数据 。 
3. 分 析 
分 析 是 取证 人 员 利 用 专业 工具 .通过 标准 化 方法 ,分 析 系 统 信 息 、 文 件 信 息 、 隐 藏 信息 、 
程序 功能 等 信息 的 过 程 。 数 据 分 析 是 电子 数据 取证 的 核心 和 关键 ,分 析 过 程 涵盖 了 所 有 的 
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电子 数据 取证 技术 ,是 最 能 体现 取证 人 员 能 力 的 环节 。 分 析 过 程 不 仅 使 用 EnCase、FTK 等 
综合 取证 工具 ,还 会 使 用 Sniffer 等 嗅 探 工具 和 IDA PRO 等 道 向 分 析 工 具 。 一 般 分 析 过 程 
主要 包括 以 下 步骤 
。 获取 取证 目标 基本 信息 。 如 系统 类 型 账户 信息 ,安装 时 间 、 关 机 时 间 、 网 络 设置 \ 共 
享 信息 等 ,可 以 利用 取证 工具 的 脚本 或 者 自动 提取 功能 实现 。 
。 文件 过 滤 。 利 用 文件 名 、 扩 展 名 、 人 逻辑 大 小 、 原 始 路 径 、 喻 希 值 .M-A-C 时 间 等 文件 
属性 信息 快速 定位 .过 滤 目 标 文件 。 
。 数据 搜索 。 利 用 字符 串 .十 六 进 制 .GREP 语法 等 设置 关键 词 , 在 数据 中 进行 遍历 ， 
在 数据 区 ,文件 松弛 区 (Slack Space) .未 分 配 空间 (Unallocated Space) 中 搜索 与 关 
键 词 相 匹配 的 文件 或 数据 。 
。 文件 分 析 。 对 过 滤 或 搜索 到 的 文件 的 信息 和 元 数据 进行 分 析 , 主要 分 析 文 件 信息 、 
文件 内 容 \ 文 件 元 数据 等 。 文 件 信息 包括 文件 名 文件 大 小 以 及 与 之 相关 联 的 文件 
的 数量 、 类 型 等 信息 。 文 件 元 数据 主要 是 隐 含 在 文件 中 的 内 赃 信 息 , 如 图 片 中 的 
GPS 信息 等 。 
。 数据 恢复 。 是 对 已 删除 的 .丢失 的 数据 进行 恢复 ,找到 被 嫌疑 人 故意 删除 破坏 或 系 
统 自 动 删除 的 ,能 够 反映 或 证 明 违 法 犯罪 事实 的 数据 。 如 被 删除 的 图 片 、 视 频 、 文 


档 、 电 话 号 码 等 文件 或 数据 。 
。 密码 破解 。 利 用 密码 破解 技术 解密 被 加 密 的 数据 ,以 达到 能 够 访问 文件 内 容 或 理解 
数据 含义 的 目的 。 


。 书签 并 记录 找到 的 数据 。 将 通过 过 滤 、 搜 索 、 分 析 、 恢 复 、 破 解 等 找到 的 文件 或 数据 
进行 书签 标记 ,以 方便 再 次 分 析 和 组 建 “证 据 链 ” ,满足 司法 需要 。 
4. 报告 
取证 人 员 根 据 取证 过 程 的 原始 记录 ,按照 司法 要 求 ,将 取证 分 析 的 结果 形成 “证 据 链 ”， 
依据 取证 要 求 出 具 勘 验 记录 、 分 析 报 告 .检验 报告 或 鉴定 意见 等 报告 文书 。 通 常情 况 下 , 报 
告 文书 中 要 体现 案由 、 时 间 、 地 点 、 直 接 证 据 信 息 、 系 统 环境 信息 、 取 证 过 程 以 及 对 电子 数据 
的 分 析 结 果 等 内 容 。 


8.4 网 络 犯罪 侦查 中 电子 数据 取证 


8. 3 节 简 单 阐述 了 电子 数据 取证 的 基本 流程 ,由 于 电子 数据 取证 的 复杂 性 ,电子 数据 取 
证 的 流程 没有 统一 的 套路 和 模板 ,需要 根据 案情 和 取证 对 象 的 实际 情况 进行 调整 。 在 网 络 
犯罪 侦查 中 ,电子 数据 取证 对 象 主要 有 现场 单机、 服务 器 、 网 络 数据 等 ,由 于 取证 对 象 的 特 
性 不 同 ,具体 取证 的 流程 也 不 同 。 
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8.4.1 网 络 犯罪 现场 勘 验 的 流程 


1. 勘 验 准备 

了 解 案 ( 事 ) 件 类 型 和 基本 情况 .计算 机 所 有 人 及 使 用 人 基本 情况 .计算 机 接 人 网 络 情 
况 . 设 备 类 型 及 存放 位 置 .用 户 名 口令 .取证 目标 数据 等 ,进入 现场 之 前 ,对 现场 的 环境 进行 
分 析 , 提 前 设置 预案 ,制定 勘 验 策略 ,确定 勘 验 人 员 ,选择 并 配备 勘 验 专业 设备 。 

2. 保护 现场 

首先 在 前 期 了 解 情况 的 基础 上 ,通过 对 知情 人 的 询问 .讯问 .走访 和 调查 ,确定 网 络 犯罪 
的 现场 。 犯 罪 现场 的 确定 对 于 确定 电子 数据 勘 验 的 范围 有 着 非常 重要 的 作用 ,直接 决定 了 
电子 数据 获取 的 完整 性 和 有 效 性 。 网 络 犯罪 具有 其 特殊 性 ,犯罪 现场 一 般 是 由 其 犯罪 结果 
显现 的 计算 机 或 者 被 侵害 的 对 象 所 决定 的 ,不 仅 存 在 于 物理 空间 内 ,还 存在 于 网 络 虚拟 空 
间 , 这 里 所 说 的 现场 勘 验 对 象 仅 限于 现实 物理 空间 。 一 般 可 以 通过 被 害 人 .犯罪 嫌疑 人 居 
住 、 停 留 的 现场 .调查 走访 作案 工 具 、 网 络 线路 等 来 确定 网 络 犯罪 现场 。 在 现场 确定 后 , 取 
证 人 员 应 当 迅 速 进 入 现场 ,并 对 现场 进行 保护 ,防止 犯罪 嫌疑 人 \ 不 具备 专门 知识 的 侦查 人 
员 ,与 勘 验 目 标 有 利害 关系 的 人 员 故 意 或 者 无 意 破 坏 现 场 的 证 据 , 划 定 保护 区 域 ,封锁 整个 
计算 机 区 域 ,包括 通信 线路 和 供电 区 域 ,确定 现场 网 络 环境 (路 由 器 .服务 器 的 位 置 .是 否 有 
无 线 网 络 ) , 除 因 侦查 需要 进一步 获取 线索 而 保持 网 络 通信 外 ,应 当 迅速 切断 现场 设备 的 网 
络 , 禁 止 犯罪 嫌疑 人 与 外 界 联 系 , 防 止 远程 破坏 证 据 。 保 护 电源 ,防止 人 为 断 电 ,笔记 本 、 手 
机 等 在 低 电 量 时 须 连 接 外 接 电源 维持 其 正常 运行 。 如 果 电 子 设备 (包括 计算 机 、 手 机 、 打 印 
机 、 传 真 设 备 等 ) 已 经 关闭 ,不 要 打开 该 电子 设备 ; 如 果 电 子 设 备 已 经 打开 ,不 要 关闭 该 电子 
设备 。 如 果 操 作 系统 正在 进行 整理 硬盘 .格式 化 硬盘 .批量 复制 信息 、 批 量 下 载 信 息 .杀毒 等 
可 能 大 量 访问 存储 介质 的 操作 ,数码 摄像 机 正在 摄像 ,数码 录音 设备 正在 录音 ,要 立即 终止 
这 些 操作 ,以 防止 破坏 存储 介质 中 的 数据 ; 如 果 打 印 机 正在 执行 打印 任务 ,不 要 停止 该 打印 
任务 ,让 打印 机 将 打印 任务 执行 完毕 ; 如 果 计 算 机 上 应 用 程序 正在 运行 ,一 般 情 况 下 暂时 不 
要 关闭 ,但 禁止 运行 计算 机 上 原 有 的 任何 应 用 程序 ; 如 果 计 算 机 正在 编辑 电子 文档 ,不 要 直 
接 保 存 该 电子 文档 ,应 将 该 电子 文档 另存 到 取证 人 员 自 带 的 取证 备用 存储 介质 ; 如 果 发 现 
非 接触 式 智能 卡 ,要 避免 将 智能 卡 放 置 在 智能 卡 读 写 器 附近 ; 如 果 发 现 无 法 识别 的 设备 ,要 
与 相关 的 专家 联系 取得 技术 支持 ,不 得 尝试 对 未 知 设备 进行 任何 操作 ; 如 果 嫌 疑 人 可 能 在 
系统 上 安装 专门 的 自动 清除 相关 证 据 的 程序 ,要 立即 切断 计算 机 电源 。 

3. 外 围 勘 验 

遵循 现场 勘 验 由 远 及 近 、 由 外 而 内 的 顺序 , 先 对 整个 犯罪 现场 全 貌 进行 拍照 和 录像 , 然 
后 是 现场 局 部 和 细部 的 记录 ,局 部 和 细部 记录 需要 注意 计算 机 的 开关 机 状态 .屏幕 显示 的 重 
要 内 容 、 外 接 设 备 情况 、 网 络 连接 情况 ,一些 特殊 性 序列 号 和 标志 。 在 拍摄 过 程 中 应 该 保持 
系统 各 种 电缆 的 连接 ,在 某 些 情况 下 可 以 断 开 电源 再 进行 拍摄 ,并 记录 下 当时 设备 的 状态 
(开关 状态 .屏幕 状态 等 ) 。 绘 制 犯 罪 现场 图 .网 络 拓扑 图 ,为 后 期 检验 鉴定 工作 中 模拟 、 还 原 
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犯罪 现场 提供 依据 。 勘 验 中 要 注意 通过 网 线 . 电 缆 、 无 线 信号 等 确定 是 否 还 有 尚 不 掌握 的 计 
算 机 及 其 相关 电子 设备 。 

4. 搜集 证 物 

搜集 所 有 可 能 与 案 ( 事 ) 件 相关 的 设备 。 除 电子 设备 ,例如 计算 机 外 ,还 包括 各 种 存储 设 
备 、. 日 记 、 访 问 记录 ,监控 录像 .书证 (包括 证 人 证 言 ) ,在 搜查 证 物 时 要 向 系统 管理 人 员 询 问 
各 个 存储 介质 是 否 有 相应 的 备份 系统 , 案 发 前 后 是 否 更 新 过 系统 中 的 硬件 (比如 更 换 硬盘 ) 。 
搜查 电子 数据 存储 设备 ,一般 包 括 (不 限于 ) 计 算 机 ,移动 存储 介质 (包括 U 盘 、 移 动 硬盘 、 
ZIP 盘 、 软 盘 、 光 盘 、 存 储 卡 ,如 SD 卡 `CF 卡 、 记 忆 棒 等 )、 手 机 、 备 份 磁 带 、 数 码 相 机 、 数 码 摄 
像 机 、 数 码 录音 笔 .GPS、 智 能 卡 、 磁 卡 等 ,并 留意 笔记 本 电脑 、 手 机 等 自 带 电源 设备 电池 的 电 
量 , 如 果 电 量 过 低 ,应 当 及 时 充电 或 更 换 电池 ; 搜查 连接 线 、 适 配器 以 及 外 置 光 驱 `PCMCIA 
卡 等 附属 设备 ,例如 发 现 特殊 的 存储 介质 (如 特殊 的 存储 卡 ), 要 注意 搜查 该 存储 介质 的 读 写 
设备 。 反 之 ,如 果 发 现存 储 介 质 的 读 写 设 备 ( 比 如 存储 卡 或 智能 卡 读 写 器 等 ) ,要 注意 搜查 与 
该 读 写 设备 相关 的 存储 设备 ; 搜查 输出 设备 耗材 ,例如 针 式 打印 机 使 用 过 色 带 可 能 存留 有 
最 近 打 印 的 痕迹 ; 如 果 现 场 存在 无 法 识别 的 设备 ,要 搜查 与 该 设备 相关 的 说 明 书 、 软 件 、 配 
套 硬件 (如 电源 等 ) 和 配套 光盘 ; 如 果 发 现 计算 机 上 运行 专用 软件 ,要 搜查 与 该 软件 相关 的 
说 明 书 、 软 件 狗 .配套 光盘 ,配套 硬件 等 外 部 设备 。 除 上 述 电子 设备 及 其 相关 物品 外 ,还 要 注 
意 搜查 嫌疑 人 使 用 的 纸 质 笔记 本 、 便 签 等 证 物 。 

5. 提取 和 固定 数据 

遵循 先 提取 、 再 固定 的 顺序 ,电子 设备 可 能 被 用 作 犯 罪 工具 、 作 为 犯罪 目标 或 是 赃物 ,或 
者 是 电子 设备 内 含有 大 量 与 案件 相关 的 信息 ,就 需要 提取 数据 作为 检 材 。 如 果 在 案件 中 电 
子 数据 可 能 是 用 于 证 明 犯 罪 的 证 据 , 或 者 电子 数据 是 非法 占有 或 使 用 的 ,提取 的 焦点 将 是 电 
子 设备 内 的 电子 数据 ,而 不 是 硬件 本 身 。 连 接 网 络 的 计算 机 中 存储 的 电子 数据 可 以 快速 传 
递 .分 布 存 储 和 远程 操作 删改 ,在 网 络 违法 犯罪 中 ,电子 数据 通常 分 布 在 多 个 网 络 节点 中 ,应 
当 尽 可 能 提取 所 有 硬件 或 网 络 中 的 电子 数据 。 提 取 网 络 计算 机 内 的 电子 数据 需要 更 多 的 电 
子 数据 取证 技术 和 案件 调查 经 验 , 不 适当 的 提取 操作 很 可 能 造成 电子 数据 丢失 或 提取 不 完 
整 的 严重 后 果 。 根 据 案 ( 事 ) 件 情况 和 侦查 需要 ,提取 电子 数据 一 般 有 两 种 方法 : 一 种 是 复 
制 全 盘 , 男 一 种 是 仅仅 复制 需要 的 电子 数据 。 

现场 勘 验 时 可 以 提取 的 电子 数据 分 为 动态 数据 和 静态 数据 两 种 。 动 态 数据 又 称 为 易 失 
性 数据 ,是 指 当 前 计算 机 系统 中 正在 运行 的 或 者 驻 留 在 内 存 中 ,一 旦 关闭 电源 就 会 丢失 的 数 
据 , 易 失 性 数据 包含 了 大 量 对 案件 侦破 有 帮助 的 信息 ,应当 在 保证 不 破坏 硬盘 原 有 数据 完整 
性 的 前 提 下 提取 , 易 失 性 数据 往往 包括 计算 机 系统 运行 期 间 ,与 系统 运行 及 登录 用 户 相 关 的 
当前 系统 状态 信息 ,常见 的 易 失 性 数据 包括 系统 时 间 、 当 前 登录 用 户 、 网 络 连 接 状 态 、 系 统 运 
行进 程 、 系 统 服 务 及 驱动 信息 和 共享 信息 等 。 静 态 数 据 是 指 在 电源 关闭 时 保存 在 存储 介质 
上 的 数据 ,通常 这 类 数据 包含 有 各 种 信息 ,通常 采取 位 对 位 复制 的 方式 来 镜像 保存 ,以 防止 
数据 被 修改 。 如 果 计 算 机 处 于 开机 状态 ,计算 机 开机 时 的 屏幕 显示 的 内 容 \ 正 在 运行 的 程 
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序 \ 正 在 编辑 的 文档 、 内 存 中 的 数据 (包括 进程 ,已 加 载 的 服务 和 驱动 等 )、 缓 存 中 的 数据 、 登 
录 信 息 、 网 络 信 息 (包括 网 络 连 接 状 态 、 正 在 浏览 的 网 页 、 网 络 共 享 、 即 时 聊天 等 社交 软件 的 
内 容 和 状态 )、 系统 时 间 、 日 期 和 时 区 信息 等 这 些 都 是 非常 有 价值 的 数据 ,其 中 包含 大 量 易 失 
性 数据 ,应 当先 提取 易 失 性 数据 ,可 见 数据 一 般 采 用 拍照 或 者 录像 方式 提取 ,不 可 见 数据 使 
用 在 线 提取 工具 提取 , 易 失 性 数据 的 提取 将 在 对 单机 进行 电子 数据 取证 的 部 分 进行 曾 述 。 
目前 ,无线 网 络 普及 应 用 ,现场 勘 验 时 除了 提取 、 固 定 计算 机 设备 的 电子 数据 ,还 应 当 及 
时 获取 无 线 网 络 设备 数据 ,包括 无 线路 由 器 运行 日 志 、 流 量 统计 、 当 前 连接 设备 状态 等 数据 。 
6. 固定 证 物 
在 现场 勘 验 过 程 中 获取 的 可 能 作为 证 据 的 计算 机 .电子 设备 . 易 失 性 数据 .电子 数据 都 
应 进行 固定 。 如 何 保存 犯罪 证 据 直 接 关 系 到 证 据 的 法 律 效 力 , 只 有 证 据 保存 符合 法 律 规定 ， 
其 真实 性 和 可 靠 性 才 有 保证 ,如 果 不 符合 法 定 的 手续 和 要 求 , 则 可 能 存在 伪造 、 变 造 、 调 换 或 
由 于 自然 因素 发 生变 化 的 可 能 性 。 根 据 公 安 机 关 的 (计算 机 犯罪 现场 勘 验 与 电子 证 据 检 查 
规则 ) 第 十 四 条 规定 ,固定 存储 媒介 和 电子 数据 包括 以 下 方式 : 完整 性 校 验 方式 是 指 计 算 电 
子 数据 和 存储 媒介 的 完整 性 校 验 值 ,并 制作 、 填 写 ( 固 定 电子 证 据 清 单 ); 备份 方式 是 复制 、 
制作 原始 存储 媒介 的 备份 ,并 依照 第 十 三 条 规定 的 方法 封存 原始 存储 媒介 ; 封存 方式 是 对 
无 法 计算 存储 媒介 完整 性 校 验 值 或 制作 备份 的 情况 ,应 当 依照 第 十 三 条 规定 的 方法 封存 原 
始 存 储 媒介 ,并 在 勘 验 、 检 查 笔录 上 注 明 不 计算 完整 性 校 验 值 或 制作 备份 的 理由 。 在 实际 操 
作 中 ,一 般 固 定 电子 数据 的 方式 有 三 种 : 
。 固定 设备 。 对 于 现场 的 台式 计算 机 系统 .笔记 本 电脑 手机、 路 由 器 .交换 机 等 ,以 及 
其 他 完整 的 电子 设备 ,可 以 整 机 封存 固定 。 在 台式 计算 机 中 ,主板 BIOS 内 存储 有 
系统 时 间 信 息 ,硬盘 内 留存 有 系统 及 用 户 的 软件 .数据 等 信息 ,在 现场 勘 验 时 来 不 及 
进行 全 面 分 析 , 可 以 整 机 固定 提取 , 待 后 续 通 过 检查 或 鉴定 和 检验 进行 深入 分 析 。 
。 固定 存储 介质 。 对 于 现场 发 现 的 台式 计算 机 ,发现 计算 机 数量 较 多 , 整 机 提取 有 困 
难 , 或 有 其 他 不 便于 提取 整 机 设备 的 情况 ,可 以 封存 固定 计算 机 内 的 硬盘 等 存储 介 
质 , 包 括 封 存 源 盘 和 制作 镜像 盘 , 现 场 勘 验 发 现 的 作为 证 据 的 移动 硬盘 、U 盘 、 光 盘 、 
SD 卡 、TF 卡 等 存储 介质 ,可 以 单独 提取 或 封存 。 
。 固定 电子 数据 。 现 场 发 现 的 设备 和 存储 介质 中 部 分 电子 数据 作为 证 据 材 料 提 取 , 设 
备 或 介质 不 需要 提取 ,或 不 便于 提取 的 情况 下 .可 以 提取 和 固定 相应 的 电子 数据 。 
如 提取 的 易 失 性 数据 和 在 线 分析 发 现 的 相关 数据 。 
固定 证 物 时 必须 依照 以 下 顺序 : 
(1) 关闭 电源 。 在 提取 易 失 性 数据 或 在 线 分 析 结 束 之 后 ,必须 立即 关闭 电子 设备 的 电 
源 ,对 于 桌面 操作 系统 ,一 般 情况 下 采取 断 电 方式 关机 ,如 台式 机 直接 拔除 电源 插头 ,笔记 本 
电脑 持续 按 下 电源 开关 10s 左右 或 拔除 电源 插头 ,拆除 电池 ; 对 于 服务 器 操作 系统 , 须 与 相 
关 的 专家 和 系统 管理 人 员 咨 询 后 确定 关机 方法 。 
(2) 记录 现场 设备 连接 状态 。 首 先 记 录 设备 的 类 型 型 号 序列 号 ,操作 系统 ,对 设备 、 
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电缆 、 网 线 等 设备 的 连接 处 进行 编号 ,拍照 并 绘制 连接 拓扑 图 ,获得 的 照片 和 拓扑 图 必须 能 
够 保证 重新 完整 地 复原 设备 的 连接 状态 ,并 且 能 够 反映 该 设备 在 现场 所 处 的 位 置 。 在 封存 
前 ,记录 下 该 计算 机 信息 系统 和 相关 设备 的 连接 状态 , 拆 印 设备 时 ,每 一 对 连接 点 分 别 编号 
并 粘 上 相应 的 标签 ,确保 根据 标签 和 编号 可 以 还 原 现场 设备 的 连接 状态 。 为 每 个 设备 编号 ， 
记录 设备 型 号 等 参数 。 用 一 次 性 封条 将 机 箱 和 各 接口 封 起 来 , 注 明 提 取 时 间 、 地 点 、 设 备 编 
号 等 信息 ,加 盖 单 位 公章 。 

(3) 镜像 存储 介质 。 现 场 勘 验 中 ,一 般 情况 下 需要 提取 嫌疑 人 使 用 的 设备 或 者 存储 介 
质 ,如 果 由 于 特定 的 原因 无 法 带 走 用 户 的 存储 设备 ,必须 采用 逐 比 特 复制 的 软件 或 者 专用 的 
复制 设备 对 存储 介质 进行 逐 比 特 复制 ,使 用 哈 希 算法 计算 镜像 的 存储 介质 的 哈 希 值 ,记录 镜 
像 的 时 间 、 存 储 介质 的 型 号 和 喻 希 值 ,并 由 见证 人 、 嫌 疑 人 、 存 储 介质 所 有 人 或 使 用 人 签字 
确认 。 

(4) 证 物 封存 。 作 为 证 据 材 料 使 用 的 电子 数据 存储 介质 保存 应 符合 相关 法 律 法 规 的 规 
定 。 根 据 ( 计 算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 ) 第 十 二 条 和 第 十 三 条 规定 : 固定 和 封 
存 电 子 数据 的 目的 是 保护 电子 数据 的 完整 性 、 真 实 性 和 原始 性 。 作 为 证 据 使 用 的 存储 介质 、 
电子 设备 和 电子 数据 应 该 在 现场 固定 或 封存 。 封 存 电子 设备 和 存储 介质 的 注意 事项 : 

。 采用 的 封存 方法 应 该 保证 在 不 解除 封存 状态 的 情况 下 ,无 法 使 用 被 封存 的 存储 介质 

和 启动 被 封存 的 电子 设备 。 
。 封存 前 后 应 该 拍摄 被 封存 电子 设备 和 存储 介质 的 照片 并 制作 (封存 电子 证 据 清单 》， 
照片 应 从 各 个 角度 反映 设备 封存 前 后 的 状况 ,清晰 反映 封口 或 张贴 封条 处 的 状况 。 

7. 证 物 的 传递 和 移交 

对 于 存储 介质 ,应 当 在 存储 介质 温度 降低 到 室温 后 ,使 用 防 静 电 、 防 水 的 包装 介质 封装 ， 
并 贴 上 封条 或 者 胶带 进行 密封 , 贴 上 标签 并 注 明 提 取 的 时 间 、 取 证 人 员 姓 名 以 及 设备 的 型 
号 。 存 储 介质 应 存储 在 正常 室温 的 环境 下 ,避免 遭受 磁 、 水 、 电 、 油 的 影响 ,对 于 软盘 、 磁 带 、 
光盘 等 存储 介质 必须 封装 在 坚固 的 存储 箱 中 ,避免 这 些 存 储 介质 弯曲 折断 ; 手机 等 具有 通 
讯 功 能 的 设备 应 该 放置 在 屏蔽 箱 内 ,避免 接收 新 的 数据 而 覆盖 原始 数据 。 在 传递 证 物 过 程 
中 必须 防止 对 电子 设备 造成 撞击 或 因 过 度 振荡 而 损坏 ,对 于 电量 不 足 的 证 物 , 应 该 准备 好 持 
续 供电 设备 。 提 取 的 证 物 , 带 有 或 属于 数据 存储 设备 的 ,应 该 现场 制作 (封存 电子 证 物 清 
单 ), 与 证 物 一 同 移交 给 电子 数据 鉴定 人 员 ,双方 应 检查 电子 证 物 封存 情 况 ,履行 必要 的 交接 
手续 。 手 续 不 全 或 者 封存 不 符合 规定 ,可 能 会 导致 拒绝 鉴定 。 随 同 证 物 移 交 的 ,还 应 该 有 案 
情 、 嫌 疑 人 情况 和 证 物 的 口令 等 有 助 于 分 析 鉴 定 的 信息 。 


8.4.2 单机 电子 数据 取证 


本 节 提 到 的 单机 主要 是 指 能 够 独立 运行 或 独立 存在 的 单独 的 计算 机 设备 或 电子 数据 存 
储 介质 。 单 机 主要 指 计算 机 (如 个 人 电脑 ,笔记 本 电脑 等 )、 移 动 智能 终端 (如 手机 、 平 板 电 
脑 、 可 穿戴 智能 设备 等 ) ,移动 存储 介质 (如 移动 硬盘 、U 盘 、 存 储 卡 等 ) 等 ,单机 是 传统 刑事 
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犯罪 和 网 络 犯罪 案件 中 遇 到 最 多 的 电子 设备 和 存储 介质 ,单机 中 往往 保存 有 与 案件 .密切 相 
关 的 电子 数据 。 通 过 对 单机 进行 取证 ,不 仅 能 够 找到 与 案件 相关 的 证 据 , 而 且 还 能 够 通过 单 
机 上 的 数据 (如 上 网 记录 安装 的 应 用 程序 等 ) 分 析 刻 画 违法 犯罪 嫌疑 人 的 行为 习惯 ,犯罪 过 
程 ,心理 特点 等 ,发 现 违法 犯罪 嫌疑 人 藏匿 地 点 或 逃跑 方向 等 。 

1. 正在 运行 的 计算 机 

计算 机 中 的 电子 数据 主要 存储 在 其 外 部 存储 器 中 ,通常 是 硬盘 。 在 对 计算 机 进行 取证 
时 ,一 般 会 遇 到 两 种 情景 : 一 种 是 现场 勘 验 中 正在 运行 的 个 人 电脑 ; 另 一 种 是 已 经 扣押 , 送 
到 电子 数据 检验 鉴定 实验 室 的 计算 机 。 本 节 主 要 阐述 现场 勘 验 中 正在 运行 的 个 人 电脑 的 取 
证 。 勘 验 正在 运行 的 计算 机 的 核心 工作 就 是 提取 、 固 定 易 失 性 数据 。 总 体 取证 思路 : 判断 
可 能 影响 勘 验 正在 运行 的 计算 机 内 数据 安全 的 因素 ,采取 技术 保护 措施 ,最 大 限度 地 提取 、 
固定 正在 运行 的 计算 机 中 易 失 性 数据 ,保护 、 固 定 、 获 取 硬 盘 内 的 完整 数据 。 提 取 、 固 定 易 失 
性 数据 要 求 快 速 准确 ,防止 操作 时 间 过 长 造成 数据 发 生 改 变 , 并 应 注意 避免 误 操作 导致 证 据 
损坏 ,应 当 提 前 准备 好 工具 ,确定 提取 顺序 。 易 失 性 数据 提取 流程 如 下 : 

(1) 确定 计算 机 状态 ,激活 计算 机 显示 器 。 计 算 机 在 长 期 不 使 用 的 情况 下 ,显示 器 可 能 
处 在 节 电 模式 (黑屏 状态 ) ,或 者 用 户 可 能 临时 关闭 显示 器 ,而 计算 机 却 正在 运行 之 中 ,在 现 
场 勘 验 时 ,需要 确认 计算 机 是 否 正 处 于 运行 状态 。 首 先 观察 显示 器 电源 是 否 打 开 , 如 果 没 有 
打开 ,打开 显示 器 电源 ,如 果 屏 幕 处 在 黑屏 状态 ,移动 鼠标 或 者 按 Ctrl 键 以 激活 计算 机 显示 
器 ,如 果 还 没有 响应 ,要 确认 机 箱 中 风扇 是 否 转动 ,是 否 还 有 其 他 的 按钮 等 。 

(2) 提取 时 间 信 息 。 时 间 是 取证 的 基准 。 在 任何 情况 下 ,对 于 任何 有 内 置 时 钟 的 设备 ， 
都 必须 记录 该 设备 当前 时 间 、 时 区 设置 以 及 系统 时 间 与 北京 时 间 的 误差 ,在 进入 现场 和 退出 
现场 时 两 次 提取 时 间 信 息 , 以 防止 整个 勘 验 过 程 影响 时 间 信 息 。 在 计算 机 系统 中 ,有 相应 的 
硬件 部 件 , 负 责 维护 系统 的 日 期 和 时 间 ,一般 的 计算 机 系统 是 CMOS 里 的 时 钟 ,基于 主板 石 
英 唱 体 振荡 器 频率 工作 ,系统 关机 后 该 时 钟 依 然 运行 ,由 系统 的 主板 电池 为 其 供电 ,在 启动 
系统 后 ,系统 从 该 时 钟 读 取 时 间 信 息 。 提 取 时 间 信 息 的 方法 有 : 

。 查看 系统 BIOS 时 间 。 进 入 BIOS 的 方法 根据 不 同 的 BIOS 类 型 而 不 同 , 一 般 根 据 开 

机 时 按 提示 操作 即 可 。 

。 查看 Windows 系统 运行 状态 下 的 时 间 。 在 屏幕 右 下 角 双 击 “ 时 间 ” 图 标 。 其 中 “时 
间 和 日 期 "就 是 当前 的 时 间 ,“ 时 区 ”就 是 系统 设置 的 所 在 国家 地 区 ,“internet 时 间 ” 
就 是 网 络 时 间 , 可 以 与 网 络 时 间 同 步 。 
通过 命令 行 下 查看 时 间 。 在 Windows 和 Linux 系统 中 ,可 以 利用 DATEL/T | 
date] 和 TIME[L/T | time] 命 令 行 查看 时 间 。 

(3) 提取 屏幕 信息 。 为 防止 破坏 原 有 信息 ,原则 上 不 允许 使 用 截图 工具 和 屏幕 录像 工 
具 对 屏幕 信息 进行 获取 ,应 当 使 用 数码 或 光学 照相 机 逐 项 拍摄 屏幕 上 显示 的 内 容 , 拍 摄 的 昭 
片 必须 能 够 清晰 显示 重要 的 证 据 信 息 . 比 如 用 户 正在 使 用 的 聊天 软件 上 显示 的 账号 和 聊天 
窗口 、 用 户 正在 浏览 的 页 面 以 及 该 页 面 上 显示 的 账号 信息 等 。 如 果 应 用 程序 的 当前 配置 信 


| 
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息 在 关闭 计算 机 后 会 丢失 , 则 应 当 打 开 相 应 的 配置 页 面 ,拍摄 显示 的 配置 信息 。 

(4) 重要 信息 的 提取 。 系 统 或 者 应 用 程序 在 当前 内 存 中 可 能 保留 有 重要 的 证 据 , 比如 
IE 使 用 的 内 存 中 可 能 保存 有 用 户 刚 访问 过 的 页 面 、 账 号 和 口令 ,即时 通信 软件 占用 的 内 存 
中 可 能 保存 有 用 户 使 用 的 账号 、 刚 刚 聊 天 的 内 容 , 打 印 程序 中 可 能 包含 有 用 户 刚 打印 的 信息 
等 ,而 在 关闭 计算 机 后 ,这 些 信息 将 会 丢失 。 因 此 ,在 不 影响 数据 完整 性 的 前 提 下 ,应当 提 取 
此 类 易 失 性 数据 。 易 失 性 数据 一 般 通过 命令 行 方式 提取 , 减 小 对 其 他 易 失 性 数据 的 破坏 , 常 
用 易 失 性 数据 提取 命令 如 表 8. 1 和 表 8. 2 所 示 。 


表 8.1 Windows 操作 系统 常用 的 易 失 性 信息 提取 命令 


提取 信息 命令 工具 来 源 
系统 日 期 date 
系统 时 间 time 
用 户 账 户 net user 
系统 共享 net share 
当前 会 话 网 络 连 接 net use 系统 内 置 
网 络 配置 信息 ipconfig /all 
当前 网 络 连接 状态 及 端口 netstat -na 
本 地 NetBIOS 名 称 表 nbtstat -n 
本 地 NetBIOS 名 称 缓存 内 容 nbtstat -c 
系统 信息 PsInfo 
用 户 登 录 信 息 PsLoggedOn 
系统 进程 列表 PsList 
系统 服务 信息 PeService in 
进程 句柄 handle 
被 网 络 用 户 打开 的 会 话 或 文件 PsFile 
和 后 下 于 民 es McAfee foundstone 
进程 开放 端口 fport 


表 8.2 UNIX/Linux 操作 系统 常用 的 易 失 性 信息 提取 命令 


提取 信息 命 从 
用 户 注册 和 注销 系统 的 基本 信息 last 
系统 中 活动 用 户 的 基本 信息 w 
系统 中 正 登 录 的 用 户 基本 信息 who 
系统 中 最 近 执 行 的 shell 命令 lastcomm 或 history 
系统 的 文件 .目录 信息 ls 
最 近 被 系统 打开 的 文件 lsof 


系统 中 当前 运行 的 进程 


ps 
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(5) 无 线 
我 国 


网 络 数据 提取 。 


Wi-Fi 无 线 网 络 接 入 互联 网 比例 高 达 91. 8% ,无线 网 络 数据 对 于 网 络 犯罪 侦查 取 


证 具有 不 可 替代 的 作用 ,因此 这 里 单独 对 无 线 网 络 数据 的 提取 进行 阐述 。 计 算 机 一 般 通过 
基于 GPRS、3G、4G 等 的 无 线 上 网 卡 、 基 于 Wi-Fi 的 无 线 网 卡 、 基 于 蓝牙 的 短 距离 通信 设备 
进行 无 线 数据 传输 , 勘 验 正在 运行 的 计算 机 时 ,应 当 注 意 以 下 几 方 面 : 

QO 确定 计算 机 是 否 通过 无 线 方式 连接 互联 网 络 , 如 果 通 过 无 线 方式 连接 互联 网 络 , 则 
需 确定 接 入 方式 。 

@ 获取 无 线 网 络 客 户 端 数据 。 如 果 通 过 无 线 上 网 卡 连接 无 线 网 络 , 则 应 提取 当前 正在 
运行 的 无 线 上 网 卡 应 用 程序 中 存储 的 手机 号 码 、 连 接 时 长 .短信 息 等 数据 ; 如 果 通 过 无 线 网 
卡 连接 无 线 网 络 , 则 应 提取 无 线 网 卡 类 型 型号、 配置. 接 入 网 络 用 户 名 、 密 钥 等 数据 ,比如 在 
Windows XP 中 ,通过 注册 表 HKEY _LOCAL_MACHINE\SOFTWARE\ Microsoft\ 
WZCSVCAParameters\Interfaces{GUID} 获 取 无 线 网 卡 信息 ,如 图 8.2 和 图 8.3 所 示 , 接 入 
无 线 网 络 名 称 为 jdzd。 


:注册 表 编 辐 秋 


文件 加 


输 四 应 ) 查看 OO 收藏 天 从) 


帮助 了 


田 Windows Seripting Host 
由 国 Windows Sewrch 
田 外 WindowsPhone 


昌国 Parmeters 
日 全 Interfaces 下 
壬 {D76F2B8P-TAET-4ED 
全 tezzssATC-8D9E-484 国 | 
图 | 
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REG_BINARY 
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图 8.3 注册 表 键 值 数 据 
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同时 ,还 可 以 通过 WirelessKeyView 等 软件 工具 提取 计算 机 无 线 网 卡 曾 经 连接 过 的 
Wi-Fi 无 线 网 络 的 网 络 名 称 、 加 密 类 型 .十 六 进 制 密 钥 值 等 信息 ,如 图 8.4 所 示 。 


irelessKeyYiew 


立 件 他) 蝙 加 企 )】 查看 名 帮 助 00 


ER 


网 站 名 称 SSID)，) 宕 码 类型 
Sp jdzd WEA-PSK 


网 络 名 称 [SSIDJ: 
密码 竟 型 : 
密码 [16 进 制 | 
密码 [Ascii: 
适配器 名 称 : 
适配器 Guid: 


图 8.4 


密码 06 进 制 )_ a 
93872030bdS E361deT ae3d84aeces26. 


jdzd 


WPA-PSK 


9933e729a30bd5fa361de7ae3d64a6ec65281d695343| 


Realtek RTL8188CU Wireless LAN 802.11n USB 2.0 N 


{E2E88A7C-8D9E-4B45-ABA1-8CE10F07E0F2} 


2015-12-24 8:08:44 


WirelessKeyView 查看 无 线 网 络 信息 


在 计算 机 通过 无 线 设 备 接 入 互联 网 络 时 ,有 些 网 络 , 如 车 站 、 机 场 的 公共 免费 Wi-Fi 等 ， 
接 入 认证 是 通过 浏览 器 以 表单 形式 提交 的 ,因此 可 以 通过 提取 浏览 器 的 表单 数据 获取 计算 
机 接 入 无 线 网 络 的 网 络 名 称 、 认 证 地 址 、 账 号 ,口令 等 信息 ,一 般 是 通过 SpotAudito、 
Internet Explorer Password、 Protected Storage PassView 等 浏览 器 表单 信息 提取 工具 


获取 。 


除 通过 上 面 的 命令 提取 相应 易 失 性 信息 外 ,通常 情况 下 还 需要 制作 内 存 的 镜像 。 内 存 
镜像 也 称 为 内 存 转 储 文件 ,通过 转 存 内 存 可 以 获取 整个 系统 内 存 的 镜像 ,内 存 镜像 文件 可 以 
被 大 多 数 综合 取证 工具 分 析 。 

针对 不 同类 型 案件 , 易 失 性 数据 的 提取 内 容 也 是 不 一 样 的 , 勘 验 人 员 应 当 针 对 案件 的 性 
质 , 合 理 安 排 现 场 勘 验 和 取证 对 象 ,做 到 迅速 有 效 、 不 遗漏 。 对 于 网 络 犯罪 案件 ,例如 计算 


机 系统 入 侵 或 破坏 案 的 莉 


当前 运行 的 进程 。 


上方 来 说 ,一 般 需 要 提取 的 系统 状态 信息 包括 (不 限于 ) : 


每 个 进程 当前 打开 的 文件 。 


每 个 进程 内 存 中 的 内 容 。 


每 个 进程 提供 的 网 络 服务 端口 。 
每 个 进程 所 依赖 的 模块 列表 。 
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。 当前 网 络 连接 状态 和 网 卡 当 前 运行 模式 (是 否 存在 侦 听 ) 。 

。 当前 网 络 共享 列表 。 

。 MAC 地 址 。 

。 ARP 缓存 表 。 

。 当前 登录 用 户 以 及 登录 的 时 间 。 

对 于 UNIX/Linux 系统 ,还 需要 提取 当前 登录 用 户 正在 执行 的 命令 、 以 前 执行 的 命令 
列表 等 。 

提取 易 失 性 数据 应 当 注 意 以 下 事项 : 

。 搜查 证 物 时 应 密切 注意 计算 机 系统 的 状态 ,如 果 计 算 机 处 于 开机 状态 ,很 有 可 能 在 

搜查 证 物 时 屏幕 保护 锁定 ,一 旦 屏幕 保护 锁定 ,就 无 法 提取 易 失 性 数据 。 

。 不 得 使 用 目标 系统 上 程序 实施 提取 ,在 勘 验 系统 入 侵 案 件 时 ,取证 人 员 必 须 意识 到 
目标 系统 上 的 程序 有 可 能 被 攻击 者 替换 (比如 安装 rootkit) ,因此 并 不 能 准确 提取 所 
需 信息 ,因此 取证 人 员 必 须 使 用 自 带 的 软件 实施 提取 。 

不 得 使 用 消耗 大 量 资源 的 软件 实施 提取 。 一 般 情况 下 ,在 提取 系统 状态 信息 时 ,不 
得 使 用 需要 消耗 大 量 资源 (内 存 、 硬 盘 空 间 ) 的 软件 实施 提取 ,防止 这 些 软件 对 系统 
上 的 证 据 上 的 证 据 造成 破坏 。 

不 得 将 提取 的 信息 存储 在 目标 系统 原 有 的 存储 介质 中 ,提取 得 到 的 数据 必须 存储 在 
取证 人 员 自 带 的 存储 介质 中 ,以 避免 对 原 有 的 存储 介质 上 的 证 据 造成 破坏 。 

。 记录 操作 过 程 ,保证 易 失 性 数据 的 完整 性 和 真实 性 。 在 提取 易 失 性 数据 的 过 程 中 ， 

必须 详细 记录 提取 过 程 (照相 或 录像 ) ,必须 使 用 哈 希 算法 (MD5、SHA128、SHA256 
等 ) 计 算 提取 到 的 文件 或 数据 的 哈 希 值 ,打印 哈 希 值 并 由 见证 人 、 嫌 疑 人 、 计 算 机 所 
有 人 或 使 用 人 签名 。 

在 电子 数据 现场 勘 验 中 ,有 时候 会 遇 到 因 情况 紧急 ,在 现场 不 实施 在 线 分 析 可 能 会 造成 
严重 后 果 ( 比 如 需要 立即 从 计算 机 中 获取 重要 的 案件 线索 ) 时 ,或 者 因 情况 特殊 ,不 允许 关闭 
电子 设备 或 扣押 电子 设备 (比如 关闭 系统 将 可 能 造成 重大 损失 ) 时 ,就 需要 通过 在 线 分 析 进 
行 取证 。 在 线 分 析 是 指 在 现场 不 关闭 电子 设备 的 情况 下 直接 分 析 和 提取 电子 系统 中 的 数 
据 。 在 线 分 析 必 须 遵 循 以 下 原则 : 

。 制定 分 析 策 略 ,缩短 在 线 分 析 的 时 间 ,将 影响 范围 控制 在 最 低 限 度 。 

。 使 用 照相 或 者 摄像 设备 记录 在 线 分 析 的 过 程 , 在 法 律 文书 或 者 操作 日 志 上 全 程 记 录 

在 线 分 析 的 过 程 ,完整 记录 操作 人 员 执 行 的 操作 ,并 由 见证 人 对 操作 记录 签字 确认 。 
。 不 得 使 用 对 存储 介质 上 的 数据 造成 严重 破坏 的 软件 实施 勘 验 分 析 , 不 得 在 目标 系统 
上 安装 任何 新 的 软件 ,如 果 需 要 运行 取证 人 员 自 带 的 软件 ,必须 从 光盘 或 者 软盘 直 
接 启 动 软件 。 

。 在 现场 在 线 分 析 过 程 中 ,提取 的 重要 数据 或 文件 可 以 保存 到 取证 人 员 自 带 的 存储 介 
质 上 ,使 用 哈 希 算法 (MD5、SHA128、SHA256 等 ) 计 算 这 些 数据 或 文件 的 哈 希 值 ， 
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打印 哈 希 值 并 由 见证 人 、 嫌 疑 人 .计算机 所 有 人 或 使 用 人 签名 ,并 在 法 律 文书 或 者 操 
作 日 志 上 注 明 保存 操作 。 

2. 移动 智能 终端 

移动 智能 终端 指 内 嵌 操 作 系统 ,具备 运算 .通信 、 存 储 等 功能 的 体积 小 巧 . 可 以 便携 的 数 
字 智 能 化 设备 。 移 动 智能 终端 主要 包括 智能 手机 、 功 能 手机 、 平 板 电 脑 .GPS、 可 穿戴 设备 、 
智能 家 居 设 备 等 。 移 动 智能 终端 的 生产 厂商 众多 ,产品 纷繁 复杂 ,无 法 简单 以 厂商 或 者 产品 
加 以 区 分 , 除 功能 手机 使 用 各 厂商 专门 开发 的 嵌入 式 系统 之 外 ,智能 手机 、 平 板 电脑 等 都 内 
置 有 完整 功能 的 操作 系统 ,但 是 移动 智能 终端 的 运行 机 制 不 同 于 传统 计算 机 设备 。 

(1) 移动 智能 终端 具有 如 下 三 个 特点 : 

。 数据 的 动态 性 。 移 动 智能 终端 的 存储 是 动态 的 ( 哈 希 校 验 值 实时 改变 ) ,而 且 各 厂商 
产品 的 存储 方式 也 不 尽 相同 ,相对 于 计算 机 设备 而 言 ,移动 智能 终端 及 其 存储 的 电 
子 数据 ,更 容易 被 污染 和 算 改 ,导致 证 据 丢 失 ,、 线 索 中 断 。 例 如 在 手机 取证 的 过 程 
中 , 呼 入 电话 可 能 会 导致 之 前 的 通话 记录 被 自动 覆盖 。 目 前 尚 无 可 靠 的 写 保 护 设备 
来 保证 获取 移动 智能 终端 存储 芯片 时 数据 不 会 被 修改 。 
系统 的 封闭 性 。 移 动 智能 终端 的 存储 芯片 一 般 固化 在 主板 上 ,集成 度 要 高 于 计算 机 
的 存储 介质 ,而 且 除 了 Android、Ubuntu 等 少数 移动 智能 终端 操作 系统 是 开源 的 之 
外 ,其 他 的 操作 系统 都 是 厂商 私有 系统 ,其 系统 运行 方式 和 数据 存储 方式 不 公开 。 

。 存储 方式 的 不 统一 。 一 方面 移动 智能 终端 的 更 新 换代 速度 快 ,新 旧 设 备 并 存 于 市 场 

之 中 ,这 些 设备 的 存储 方式 都 不 尽 相 同 , 数 据 通 信 方 式 也 各 有 规则 ,即使 同一 厂商 的 
不 同 产 品 ,甚至 同型 号 的 产品 ,存储 方式 可 能 也 有 所 不 同 ; 另 一 方面 不 同 智能 终端 
系统 版 本 的 软件 在 数据 存储 上 也 可 能 会 有 较 大 的 变化 。 此 外 ,模仿 品牌 手机 的 山寨 
机 在 外 形 、 重 量 、 操 作 界面 等 方面 与 真 机 差别 甚 微 ,但 是 内 部 主板 、 操 作 系 统 却 截 然 
不 同 。 

(2) 移动 智能 终端 的 关键 数据 。 

移动 智能 终端 内 的 电子 数据 能 够 反映 出 使 用 者 的 人 际 关系 以 及 所 做 的 各 种 历史 行为 ， 
其 中 包含 了 电话 舌 、 通 话 记录 、 短 信 记 录 、 第 三 方 应 用 程序 用 户 数 据 以 及 被 删除 的 各 种 数据 。 

(3) 移动 智能 终端 取证 流程 。 

移动 智能 终端 取证 ,是 指针 对 手机 等 移动 智能 终端 内 部 存储 .外 部 存储 附属 设备 中 的 
电子 数据 ,进行 获取 、 分 析 、 固 定 , 提 取 具 备 法 律 效力 ,符合 司法 取证 鉴定 要 求 的 电子 数据 的 
过 程 。 移 动 智能 终端 取证 的 对 象 不 仅 包 括 手 机 、 平 板 电脑 等 移动 智能 终端 设备 的 内 部 存储 ， 
而 且 还 涵盖 了 移动 智能 终端 所 使 用 的 存储 卡 、SIM 卡 等 外 部 存储 和 附属 设备 。 
目前 没有 一 种 取证 设备 能 够 完美 的 支持 对 所 有 的 移动 智能 终端 的 取证 ,移动 智能 终端 
取证 时 需要 了 解 设 备 的 类 型 .型 号 .数据 存储 的 物理 方式 (存储 介质 ) .逻辑 方式 (文件 系统 ) 
以 及 文件 结构 ,并 且 能 够 将 非 结构 化 数据 解码 为 可 视 化 数据 。 由 于 没有 移动 智能 终端 取证 
写 保护 设备 ,无 法 对 动态 存储 进行 镜像 并 校 验 ,因此 目前 在 能 够 保证 证 据 链 真实 性 的 前 提 
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下 ,允许 对 移动 智能 终端 系统 功能 进行 必要 的 修改 ,接受 不 污染 关键 证 据 数据 、 不 影响 证 据 
效力 的 有 限 修改 ,或 者 排除 受到 修改 的 数据 ,并 将 取证 过 程 记录 在 案 。 

借鉴 传统 计算 机 取证 的 流程 ,下 面 以 iOS 和 Android 为 例 , 介 绍 移动 智能 终端 的 取证 基 
本 流程 。 

Q@ iOS 系统 智能 终端 设备 取证 基本 流程 。 

图 8.5 为 iOS 系统 终端 取证 的 一 般 模 型 。 对 iOS 设备 进行 数据 提取 ,首先 要 在 取证 工 
作 站 上 安装 iTunes; 其 次 ,在 取证 工具 识别 iOS 设备 的 过 程 中 ,移动 智能 设备 要 保证 屏幕 锁 
始终 打开 , 当 设 备 被 识别 到 之 后 ,取证 工具 就 可 以 借助 于 iTunes 提取 设备 中 的 文件 系统 备 
份 的 形式 来 完成 数据 获取 操作 ,并 对 提取 到 的 数据 进行 分 析 。 


屏幕 解锁 数据 提取 数据 分 析 


图 8.5 iOS 系统 智能 终端 取证 的 一 般 模 型 


并 非 所 有 iOS 移动 智能 终端 内 的 数据 都 可 以 通过 iTunes 备份 的 方式 进行 获取 ,比如 某 
些 权限 控制 比较 严格 的 即时 通讯 软件 ,无 法 通过 Tunes 备份 的 数据 可 以 尝试 通过 越狱 的 方 
式 进行 获取 ,但 是 对 iOS 智能 终端 设备 进行 越狱 存在 一 定 风险 ,可 能 会 造成 数据 不 可 挽回 
性 地 损毁 ,而 且 有 可 能 违反 某 些 国 家 和 地 区 当地 的 法 律 规定 ,因此 通过 越狱 方式 对 iOS 系 
统 的 设备 进行 取证 需要 慎重 。 

@ Android 系统 智能 终端 设备 取证 基本 流程 。 

图 8.6 为 Android 系统 智能 终端 取证 的 一 般 模 型 。 目 前 大 部 分 取证 工具 对 Android 终 
端 进行 的 取证 操作 遵循 这 个 步 又: 当 手 机 终端 与 取证 工作 站 连接 之 后 ,启动 取证 软件 ,根据 
软件 所 提示 的 步骤 获取 Android 系统 的 Root 权限 ,然后 通过 取证 软件 获取 、 分 析 智 能 终端 


内 的 数据 。 
已 数据 提取 数据 分 析 


图 8.6 Android 系统 智能 终端 取证 的 一 般 模型 


获取 手机 中 的 数据 之 后 ,手机 取证 工具 会 对 重要 数据 进行 自动 分 析 展 示 , 以 方便 取证 人 
员 对 提取 的 所 有 数据 做 更 深入 的 分 析 , 以 达到 更 好 的 取证 效果 。 

移动 智能 终端 设备 的 数据 恢复 依赖 于 SQLite 数据 库 文件 是 否 存在 和 数据 库 被 写 入 的 
频率 ,基于 SQLite 数据 库 的 移动 智能 终端 删除 数据 恢复 ,最 重要 的 前 提 就 是 数据 库 文件 本 
身 未 遭 到 破坏 ,如 果 待 取证 的 移动 智能 终端 被 刷机 ,恢复 出 厂 设置 或 者 其 他 一 些 不 可 预 估 的 
操作 而 导致 某 些 数据 对 应 的 数据 库 遭 到 破坏 或 重 署 时 ,包括 现 有 数据 ` 已 删除 数据 在 内 的 所 
有 数据 都 会 丢失 。 如 果 待 取证 移动 智能 终端 应 用 程序 的 SQLite 数据 库 被 写 人 的 频率 很 高 ， 
会 导致 已 删除 数据 在 SQLite 数据 库 中 所 占用 的 自由 区 最 终 被 分 配 用 来 存储 新 的 数据 ,使 得 
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原 有 已 删除 数据 被 覆盖 多 次 ,造成 已 删除 数据 无 法 恢复 。 

@ 移动 智能 终端 取证 注意 事项 。 

现场 勘 验 阶 段 : 一 是 确认 获取 的 目标 设备 是 否 会 危及 取证 人 员 及 现场 的 安全 ,比如 某 
些 案件 中 ,手机 是 炸弹 的 引爆 器 ; 二 是 待 检 移 动 智能 终端 在 进行 取证 之 前 应 放置 在 电磁 信 
号 屏蔽 箱 中 或 者 关机 ,在 取证 过 程 中 应 当 将 移动 智能 终端 的 通讯 媒介 (如 SIM 卡 等 ) 移 除 或 
开启 飞行 模式 ,最 大 限度 地 保持 移动 智能 终端 的 初始 状态 不 发 生 改变 和 原始 数据 不 被 污染 、 
删除 ,比如 iOS 系统 智能 终端 具有 远程 清除 数据 的 功能 ; 三 是 通过 物证 ,书证 形式 来 证 明 移 
动 智 能 终端 使 用 者 与 移动 智能 终端 之 间 的 关联 关系 ,防止 移动 智能 终端 中 提取 的 虚拟 身份 
信息 与 使 用 者 的 现实 身份 缺乏 有 效 的 关联 依据 ,影响 移动 智能 终端 内 数据 的 采信 。 四 是 在 
对 移动 智能 终端 进行 电子 数据 取证 之 前 ,应 当先 提取 指纹 .DNA 等 传统 物证 ; 五 是 向 移动 
智能 终端 使 用 者 询问 解锁 口令 .PIN 码 .PUK 码 、 应 用 程序 的 功能 等 相关 信息 ,取消 移动 智 
能 终端 的 “自动 锁定 ”和 “密码 ”( 或 “图 形 锁 ”) 等 安全 防护 措施 ,打开 “调试 模式 ”, 操 作 中 要 记 
录 每 步 的 操作 步骤 ,包括 设备 的 状态 描述 ,操作 的 目的 和 结果 等 ; 六 是 在 提取 移动 智能 终端 
时 ,要 同时 提取 与 其 配套 的 适配器 .充电 器 .与 计算 机 的 连接 设备 .配套 的 光盘 等 ,并 注意 搜 
寻 与 之 相关 的 SIM 卡 、 存 储 卡 等 存储 介质 ,以 及 与 移动 智能 终端 电子 数据 相关 的 传统 物证 ， 
例如 写 在 纸 片上 的 密码 等 ; 七 是 确保 移动 智能 终端 的 持续 电力 供应 ,防止 因 断 电 而 造成 时 
间 、 通 话 记录 等 信息 的 丢失 ; 八 是 提取 与 移动 智能 终端 同步 过 数据 的 计算 机 设备 ,通过 计算 
机 中 的 同步 数据 ,获取 通讯 录 、 短 信 等 重要 信息 ; 九 是 封存 和 运输 时 应 注意 防震 、 防 水 、 防 静 
电信 号 屏蔽 和 持续 供电 。 

检验 鉴定 阶段 : 一 是 确认 设备 是 否 关机 ,是 否 处 于 待机 状态 或 恢复 模式 ,防止 处 理 不 当 
导致 数据 丢失 ; 二 是 保证 设备 电量 能 够 满足 取证 需要 ,最 好 为 设备 持续 充电 ; 三 是 取证 移 
动 智能 终端 的 全 部 过 程 , 除 特殊 情况 ,都 应 该 采取 技术 措施 屏蔽 隔离 移动 智能 终端 的 通讯 信 
号 ,例如 使 用 信号 屏蔽 盒 \, 开 启 主 动 屏蔽 设备 或 将 移动 智能 终端 设置 为 "飞行 模式 ”防止 数 
据 被 覆盖 或 被 删除 ; 四 是 解除 移动 智能 终端 的 安全 机 制 ,比如 开机 密码 、 图 形 锁 ; 五 是 全 面 
获取 移动 终端 的 数据 并 进行 分 析 , 如 系统 信息 、 使 用 记录 ,通讯 信息 (通话 记录 和 短信 )、 社 交 
信息 (QQ 、 微 信 等 ) .交通 地 理 信息 (GPS 基站) 等 ,排除 被 人 为 修改 的 数据 ,比如 即时 通讯 软 
件 记 录 的 时 间 信 息 可 能 会 以 智能 终端 设备 系统 时 间作 为 时 间 戳 。 


8.4.3 服务 器 电子 数据 取证 


服务 器 是 网 络 犯罪 侦查 中 经 常 遇 到 的 取证 对 象 之 一 ,在 网 络 犯罪 中 ,服务 器 既 会 被 用 作 
作案 工具 ,又 会 成 为 遭受 攻击 入 侵 的 “受害 者 ”。 服 务 器 英文 名 称 为 Server, 指 的 是 在 网 络 环 
境 中 为 客户 机 (Client) 提 供 各 种 服务 的 、 特 殊 的 专用 计算 机 。 服 务 器 作为 硬件 来 说 ,通常 是 
指 那 些 具 有 较 高 计算 能 力 , 能 够 为 多 个 用 户 提供 服务 的 计算 机 设备 。 服 务 器 的 主要 数据 仍 
然 是 保存 在 内 存 和 硬盘 ,但 是 为 了 提高 服务 器 的 磁盘 数据 读 写 速度 和 数据 的 稳定 性 ,服务 器 
大 多 采用 磁盘 阵列 方式 存储 电子 数据 。 服 务 器 取证 中 .取证 流程 和 注意 事项 与 个 人 计算 机 
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取证 相似 ,服务 器 取证 中 在 现场 服务 器 处 理 、 磁 盘 数 据 获取 、 分 析 方 面 会 不 同 于 个 人 计算 机 
取证 


1. 勘 验 阶段 流程 
一 是 了 解 并 记录 案情 、 嫌 疑 人 和 使 用 人 相关 情况 .服务器 所 处 的 网 络 环境 、 网 络 拓扑 、 服 
务 器 对 外 提供 的 服务 类 型 .服务 器 操作 系统 类 型 .服务 器 系统 权限 分 配 等 信息 ,根据 取证 目 
的 制定 勘 验方 案 , 确 定 勘 验 方式 (远程 勘 验 或 现场 勘 验 ) 、 勘 验 人 员 和 设备 。 

二 是 制作 内 存 镜像 ,提取 固定 现场 服务 器 中 正在 运行 的 应 用 程序 、 进 程 ,打开 或 编辑 中 
的 文档 ,连接 服务 器 或 登录 服务 器 的 用 户 信息 、 网 络 信息 、 共 享 信息 等 易 失 性 数据 ,记录 服务 
器 磁盘 的 RAID 设置 信息 ,有 数据 库 的 服务 器 还 应 确定 数据 库 的 状态 、 数 据 库 账户 状态 、 关 
键 数据 库 和 表 的 状态 ,数据 库 版 本 、 存 储 位 置 等 信息 ,由 于 有 的 服务 器 所 使 用 的 操作 系统 比 
较 特殊 ,取证 人 员 不 熟悉 服务 器 的 操作 ,可 以 邀请 相关 专家 或 者 服务 器 的 运 维 管理 人 员 协 助 
提取 、 固 定 易 失 性 数据 ,并 进行 全 程 录像 ,在 勘 验 笔录 中 详细 记录 操作 过 程 。 

三 是 根据 服务 器 情况 确定 是 否 关闭 服务 器 或 者 切断 服务 器 的 网 络 连 接 ,以 及 服务 器 关 
机 方式 ( 断 电 关机 或 正常 关机 ) ,有 些 服 务 器 是 个 人 或 单位 所 使 用 的 ,允许 断 网 或 关机 ,由 于 
当前 大 部 分 服务 器 磁盘 都 会 使 用 RAID(Redundant Arrays of Independent Disks, 磁盘 阵 
列 ) 技 术 , 如 果 盲 目 拆除 磁盘 ,会 使 后 期 分 析 、 检 验 /鉴定 中 增加 RAID 重组 的 工作 量 和 工作 
难度 ,因此 一 般 会 采取 不 拆 机 复制 的 取证 方式 ,使 用 特殊 的 取证 光盘 引导 服务 器 ,使 用 取证 
工具 制作 RAID 逻辑 磁盘 的 磁盘 镜像 ,然后 再 关闭 服务 器 ,将 服务 器 下 架 , 记 录 好 硬盘 顺序 
和 位 置 后 拆除 硬盘 并 封存 。 而 网 络 犯 罪 中 大 部 分 服务 器 是 对 外 提供 各 种 网 络 服务 的 ,服务 
器 断 网 或 关机 将 会 造成 重大 社会 影响 ,此 类 服务 器 不 能 断 网 或 关机 ,只 能 通过 取证 工具 , 制 
作 某 个 磁盘 区 域 或 文件 的 逻辑 镜像 .复制 相关 文件 或 导出 数据 库 备份 文件 ,并 记录 与 取证 目 
标 相关 的 应 用 或 服务 的 配置 信息 ,为 在 实验 室 分 析 、 检 验 /鉴定 中 重 构 服务 器 或 网 络 服务 提 
供 必要 的 参考 。 

四 是 有 些 服务 器 ,特别 是 服务 器 集群 对 外 提供 服务 时 ,服务 的 应 用 程序 存储 在 服务 器 本 
地 磁盘 ,而 数据 库 、 实 体 文件 等 数据 存储 在 外 接 独立 的 磁盘 阵列 柜 内 ,有 的 甚至 是 使 用 其 他 
服务 器 的 磁盘 , 勘 验 中 要 和 弄 清 需要 从 哪些 服务 器 或 磁盘 阵列 柜 中 提取 、 固 定 何 种 数据 ,防止 
出 现 遗 漏 。 

五 是 计算 提取 、 固 定 、 封 存 的 电子 数据 或 存储 介质 的 哈 希 校 验 值 ,将 勘 验 过 程 、 提 取 、 封 
存 的 电子 数据 或 存储 介质 等 记录 到 相应 笔录 中 ,制作 勘 验 笔录 ,并 由 见证 人 、 嫌 疑 人 、 所 有 者 
或 使 用 人 签字 。 

2. 分 析 、 检 验 / 鉴定 阶段 

与 单机 取证 中 已 扣押 的 计算 机 的 取证 相似 ,利用 专业 工具 ,通过 标准 化 方法 ,根据 取证 
目标 进行 分 析 、 检 验 /鉴定 ,这 里 就 不 再 重复 。 但 是 在 对 服务 器 的 分 析 、 检 验 /鉴定 中 ,还 要 进 
行 一 些 与 个 人 计算 机 取证 不 同 的 工作 ,主要 有 : 
一 是 RAID 人 恢复。 如果 服 务 器 磁盘 阵列 的 RAID 信息 丢失 或 没有 制作 RAID 逻辑 磁盘 
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镜像 ,为 了 有 效 分 析 磁 盘 内 的 数据 ,需要 进行 RAID 恢复 。 首 先 在 采取 写 保护 技术 措施 下 ， 
未 盘 制 作 磁盘 的 镜像 文件 ,然后 使 用 RAID 恢复 软件 或 者 根据 起 始 扇 区 .条 带 大 小 、 盘 序 、 校 
验方 向 .同步 异步 等 信息 进行 RAID 重组 。 

二 是 日 志 分 析 。 在 网 络 犯罪 案件 中 ,服务 器 一 般 是 被 侵害 的 对 象 ,通过 对 服务 器 操作 系 
统 日 志 ( 如 Windows 系统 安全 日 志 )、 网 络 服务 日 志 ( 如 Apache\IIS 日 志 ) 数据 库 日 志 等 分 
析 , 可 以 为 网 络 入 侵 案件 提供 线索 和 证 据 。 比 如 通过 日 志 中 的 HTTP、FTP 服务 返回 状态 
编码 ,可 以 发 现 被 侵害 的 线索 ,确定 被 人 侵 的 时 间 ,方式 .人 侵 者 IP 地 址 等 ,找到 入 侵 者 安装 
的 木马 或 后 门 。 调 查 人 侵 者 在 被 侵害 服务 器 上 的 活动 情况 ,还 可 以 通过 Web 日 志 中 的 客户 
端 浏览 器 标示 ,获取 入 侵 者 所 使 用 的 浏览 器 的 引擎 ,兼容 性 ,版 本 等 信息 ,为 分 析 、 刻 画 入 侵 
者 提供 依据 。 

三 是 数据 库 取 证 。 在 网 络 犯罪 案件 中 ,违法 犯罪 嫌疑 人 不 仅 会 以 获取 \ 算 改 计算 机 信息 
系统 的 数据 为 目的 , 盗 取 或 修改 数据 库 内 的 数据 ,而 且 有 些 网 络 犯 罪 , 如 网 络 赌博 、 网 络 传销 
等 还 会 利用 数据 库 管理 会 员 信 息 、 交 易 流 水 等 数据 ,这 些 都 需要 通过 数据 库 取证 来 提取 、 固 
定 其 违法 犯罪 证 据 。 对 数据 进行 取证 时 不 仅 要 遵循 电子 数据 取证 的 基本 流程 和 规范 ,而 且 
针对 数据 库 自身 数据 动态 性 和 操作 复杂 性 的 特点 ,还 要 依靠 相应 的 工具 和 数据 库 技术 获取 
特有 的 数据 信息 。 在 数据 库 分 析 、 检 验 / 鉴 定 中 ,需要 重点 分 析 数 据 库 运行 时 直接 管理 的 内 
存 区 域 和 操作 系统 为 数据 库 系统 管理 提供 的 内 存 区 域 ,数据 库 的 跟踪 记录 (例如 通过 SQL 
Server Profile 工具 分 析 Microsoft SQL Server 数据 库 的 跟踪 记录 ,跟踪 记录 保存 在 
Microsoft SQL Server 安装 目录 的 log 目录 下 ,以 “log_##. tre” 文 件 形式 存在 ) 数据库 文 
件数 据 库 备份 文件 .数据库 日 志 、 数 据 库 临时 表 等 关键 数据 。 在 分 析 数 据 库 时 往往 需要 重 
构 数 据 库 运 行 环境 ,将 备份 的 数据 库 还 原 到 重 构 环境 中 ,通过 数据 库 查询 工具 或 命令 (如 
SQL 请 句 等 ) 查 询 、 调 取 、 过 滤 数 据 库 中 的 数据 ,进而 重 构 与 数据 库 相关 联 的 应 用 程序 运行 
环境 。 如 果 数 据 库 内 的 数据 被 故意 删除 ,可 以 尝试 通过 数据 库 的 跟踪 记录 .数据库 日 志 等 信 
息 进 行 恢 复 , 达 到 还 原 数据 库 数据 以 及 相关 网 络 应 用 的 目的 。 


8.4.4 网 络 电子 数据 取证 


在 网 络 技术 飞速 发 展 的 大 环境 下 ,电子 数据 不 仅 存储 在 电子 设备 上 ,而且 还 会 存储 在 网 
络 中 ,网 络 电子 数据 始终 是 网 络 犯罪 侦查 中 一 个 重要 的 取证 目标 。 网 络 电子 数据 既 包 括 网 
络 设备 中 存储 的 “静态 "电子 数据 ,又 包括 网 络 线路 中 传输 的 “动态 "电子 数据 。 网 络 电子 数 
据 具 有 以 下 特点 : 
。 数据 量 大 。 在 网 络 环境 中 ,电子 数据 会 分 散 保存 在 多 个 电子 设备 中 ,甚至 是 云 存储 、 
海量 存储 中 的 数据 ,网 络 中 的 电子 数据 已 经 超越 了 一 个 物理 存储 介质 的 容量 。 
。 数据 格式 复杂 。 不 同 的 网 络 设备 .网 络 线路 、 网 络 应 用 所 采用 的 数据 格式 不 同 , 有 些 
特殊 的 网 络 应 用 还 使 用 了 加 密 或 特殊 的 算法 。 
网 络 设备 中 存储 的 电子 数据 一 般 是 指 网 络 服 务 器 (包括 虚拟 服务 器 )、 交 换 机 、 路 由 器 、 
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防火 墙 ` 云 存储 等 物理 设备 和 虚拟 设备 中 存储 的 电子 数据 。 网 络 色 情 、 网 络 赌博 、 网 络 传销 、 
网 络 侵权 、 网 络 诈骗 ,网络 人 侵 等 网 络 违法 犯罪 活动 ,不 仅 会 利用 网 络 服务 器 ` 云 存储 等 存储 
与 违法 犯罪 相关 的 电子 数据 ,而 且 还 会 借助 或 侵害 交换 机 、 路 由 器 、 防 火 墙 等 网 络 设备 , 留 下 
作案 痕迹 ,这 些 电 子 数据 将 是 定罪 量刑 的 重要 证 据 。 网 络 设备 中 存储 的 电子 数据 一 般 通 过 
远程 勘 验 的 方式 进行 取证 《计算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 ) 第 三 条 第 二 款 规 
定 : 远程 勘 验 ,是 指 通 过 网 络 对 远程 目标 系统 实施 勘 验 ,以 提取 、 固 定 远程 目标 系统 的 状态 
和 存留 的 电子 数据 。 远 程 勘 验 是 侦查 活动 的 组 成 部 分 ,必须 由 具备 相应 能 力 的 侦查 人 员 或 
取证 人 员 负 责 进行 , 勘 验 对 象 应 为 网 络 远程 目标 。 在 案件 侦查 中 ,由 于 受 侦查 工作 条 件 所 
限 , 无 法 直接 接触 到 境外 的 服务 器 等 取证 目标 ,可 以 采取 远程 勘 验 的 方式 进行 ,远程 勘 验 结 
束 后 ,要 制作 远程 勘 验 笔录 ,连同 提取 、 固 定 的 相关 电子 数据 一 并 作为 证 据 材 料 。 远 程 勘 验 
要 求 及 时 ,全面 、 细 致 地 对 远程 目标 进行 勘 验 ,客观 全 面 地 提取 、 固 定 相关 电子 数据 证 据 。 远 
程 勘 验 取证 的 流程 如 下 : 

(1) 了 解 并 获取 取证 目标 的 网 络 环境 、 网 络 管理 情况 、 登 录 途 径 及 入 口 登录 账户 及 口 
令 、 数 据 存储 情况 ,设备 使 用 期 限 、 网 络 带宽 等 情况 。 

(2) 选择 能 够 连接 和 接 入 勘 验 对 象 网 络 的 接 入 环境 和 工作 环境 ,配备 远程 勘 验 专用 的 
工作 站 、 堡 垒 机 、 存 储 设 备 和 屏幕 录像 软件 .截屏 软件 .照相 机 、 摄 像 机 、 远 程 登录 工具 ,远程 
访问 客户 端 \ 文 件 上 传 下 载 工具 、 喻 希 校 验 工具 、 刻 录 光 盘 等 。 在 远程 勘 验 工作 站 上 安装 病 
毒 防护 和 入 侵 防 护 等 保护 措施 ,并 与 北京 标准 时 间 进 行 同步 。 配 置 具备 相关 专门 知识 的 勘 
验 人 员 或 聘请 相关 技术 专家 。 

(3) 登录 取证 目标 ,获取 网 站 源 代码 、 数 据 库 备份 、 日 志 数 据 、 各 类 文档 、 服 务 器 内 存 镜 
像 、 网 络 设备 (如 交换 机 、 路 由 器 、 防 火 墙 等 的 配置 信息 、 当 前 连接 设备 信息 及 日 志 、 云 存储 
中 的 音 视频 、 光 盘 镜像 ,文档 等 与 案件 相关 的 电子 数据 。 另 外 ,对 于 无 线 网 络 设 备 除 对 上 述 
数据 进行 取证 外 ,还 应 关注 SSID、MAC 地 址 .连接 密 钥 等 配置 信息 ,这 些 配置 信息 对 于 分 
析 、 检 验 /鉴定 设备 之 间 的 网 络 连接 情况 提供 关键 性 信息 ,同时 对 于 带 有 存储 功能 的 无 线路 
由 、 无 线 存储 等 电子 设备 ,应 对 存储 介质 一 并 取证 ,通常 能 够 获取 无 线 网 络 设备 的 访问 、. 连 
接 . 下 载 等 日 志 信息 。 

(4) 在 远程 勘 验 中 提取 的 电子 数据 通过 文件 备份 和 计算 校 验 值 的 方式 进行 固定 。 

(5) 在 远程 勘 验 过 程 中 ,要 采取 照相 .录像 .截屏 等 方式 记录 远程 勘 验 中 提取 、 生 成 电子 
数据 等 关键 步骤 ,对 勘 验 的 基本 情况 、 勘 验 过 程 、. 勘 验 结果 等 进行 记录 ,并 制作 远程 勘 验 
笔录 。 

近年 来 , 随 着 云 存 储 技术 的 快速 发 展 和 普及 应 用 ,网 络 云 盘 中 存储 的 数据 量 动 辑 几 TB 
甚至 几 十 ` 上 百 TB, 如 此 大 的 数据 量 给 公安 机 关 在 打击 网 络 犯罪 中 提取 、 固 定 云 盘 中 的 涉 
案 数 据 提出 了 巨大 挑战 ,比如 一 些 传播 淫秽 色情 案件 .侵权 案件 中 ,嫌疑 人 使 用 云 盘存 储 了 
上 百 TB 的 视频 文件 ,如 果 依 然 通过 传统 的 远程 勘 验 方式 备份 这 些 涉 案 文件 ,不 仅 下 载 这 些 
文件 需要 数 月 的 时 间 , 而 且 还 要 使 用 上 百 TB 的 存储 设备 保存 这 些 证 据 , 给 公安 机 关 造 成 人 
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力 、 物 力 、 财 力 的 巨大 负担 。 面 对 这 种 情况 ,可 以 采取 通知 云 盘 服务 提供 商 关 停 涉 案 云 盘 账 
号 .将 云 盘 数据 属性 修改 为 只 读 状 态 、 云 盘 提 供 商 提供 云 盘 数据 哈 希 校 验 值 的 方式 保护 涉案 
电子 数据 证 据 , 防 止 其 被 修改 或 删除 , 云 盘 服务 提供 商 为 司法 部 门 开设 专门 的 取证 账号 , 相 
关 取 证 、 鉴 定 人 员 通 过 取证 账号 鉴定 云 盘 内 的 数据 是 否 属 淫秽 物品 或 侵犯 知识 产权 ,这 种 取 
证 方式 目前 尚 在 探索 、 尝 试 阶段 。 


8.5 ”电子 数据 检验 /鉴定 在 网 络 犯罪 侦查 中 的 应 用 


在 刑事 、 民 事 和 行政 诉讼 中 ,电子 数据 检验 结论 和 鉴定 意见 依靠 其 真实 性 、 可 靠 性 的 特点 ， 
往往 具有 其 他 证 据 形式 不 可 替代 的 作用 ,对 于 准确 认定 事实 、 公 正 审 理 案件 有 着 重要 的 意义 。 

2013 年 1 月 1 日 施行 的 最 高 人 民法 院 ( 关 于 适用 二 中 华人 民 共 和 国 刑事 诉讼 法 二 的 解 
释 ) 第 八 十 七 条 规定 :“ 对 案件 中 的 专门 性 问题 需要 鉴定 ,但 没有 法 定 司法 鉴定 机 构 , 或 者 法 
律 , 司 法 解释 规定 可 以 进行 检验 的 ,可 以 指派 ,聘请 有 专门 知识 的 人 进行 检验 ,检验 报告 可 以 
作为 定罪 量刑 的 参考 。"2014 年 最 高 人 民法 院 ( 关 于 办 理 网 络 犯 罪案 件 适用 刑事 诉讼 程序 若 
干 问 题 的 意见 ) 第 十 八条 规定 :“ 对 电子 数据 涉及 的 专门 性 问题 难以 确定 的 ,由 司法 鉴定 机 
构 出 具 鉴 定 意见 ,或 者 由 公安 部 指定 的 机 构 出 具 检 验 报告 。” 


8.5.1 电子 数据 检验 / 鉴定 的 应 用 范围 


电子 数据 检验 /鉴定 的 应 用 范围 与 电子 数据 取证 基本 一 致 ,但 是 其 主要 的 应 用 目标 是 证 
据 , 根 本 是 为 诉讼 服务 。 根 据 中 国 合 格 评定 国家 认可 委员 会 (司法 鉴定 /法 庭 科学 机 构 认 可 
领域 分 类 》CNAS-AL13 :2013 规定 ,电子 数据 检验 /鉴定 应 用 范围 包括 三 类 : 
。 电子 数据 的 提取 .固定 与 恢复 ,包括 计算 机 存储 介质 .嵌入 式 系统 、 移 动 终端 (包括 手 
机 ) 、 智 能 卡 、 磁 卡 、 数 码 设备 ,网 络 数据 (包括 互联 网 数据 ) 、 计 算 机 系统 现场 数据 ( 特 
指 运行 中 的 系统 数据 提取 ) 。 
。 电子 数据 真实 性 (完整 性 ) 鉴 定 , 包 括 电子 签名 .电子 邮件 .即时 通信 、 电 子 文档 、 数 
据 库 。 
。 电子 数据 同一 性 .相似 性 鉴定 ,包括 软件 .电子 文档 ` 集 成 电路 ( 含 芯 片 ) 。 


8.5.2 电子 数据 检验 / 鉴定 与 电子 数据 取证 的 关系 


1. 电子 数据 检验 / 鉴定 是 电子 数据 取证 的 子 集 

电子 数据 检验 /鉴定 是 电子 数据 取证 的 重要 组 成 部 分 ,是 侦查 阶段 与 诉讼 阶段 之 间 的 重 
要 环节 。 电 子 数据 检验 /鉴定 与 现场 勘 验 、 远 程 勘 验 、 数 据 分析 等 工作 ,具有 同等 的 重要 性 ， 
分 别 存在 于 电子 数据 取证 的 不 同 环节 。 因 此 ,不 能 将 电子 数据 检验 /鉴定 与 电子 数据 取证 混 
为 一 谈 。 
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2. 电子 数据 检验 / 鉴定 与 电子 数据 取证 的 侧重 点 不 同 

电子 数据 检验 /鉴定 的 目标 是 形成 符合 法 律 要 求 的 “证 据 链 ”, 具 体 表现 为 检验 报告 或 鉴 
定 意见 等 证 据 材料 ; 电子 数据 取证 关注 的 范围 更 广 , 不 但 从 证 据 角 度 , 而 且 从 宏观 角度 关注 
整个 侦查 过 程 ,目标 是 为 侦查 和 诉讼 服务 。 


8.5.3 电子 数据 检验 / 鉴定 的 流程 


根据 (司法 鉴定 通则 兴 公 安 机 关 电子 数据 鉴定 规则 》 对 检验 /鉴定 流程 的 相关 规定 , 检 
验 / 鉴定 流程 包括 发 起 、 受 理 、 实 施 、 文 书 制作 等 环节 ,整个 流程 受到 时 限 ` 回 避 制 度 ` 质 量 控 
制 等 制度 的 约束 。 

1. 电子 数据 检验 / 鉴定 的 发 起 

刑事 民事 ,行政 案件 的 诉讼 参与 人 为 了 保证 自身 的 合法 权益 ,可 以 通过 口头 或 者 书面 
向 执法 部 门 、 检 察 机 关 、 审 判 机 关 申 请 对 涉案 电子 数据 进行 检验 /鉴定 。 根 据 电子 数据 检验 / 
鉴定 的 情况 ,可 分 为 初次 检验 /鉴定 申请 、 补 充 检 验 /鉴定 申请 、 重 新 检验 /鉴定 申请 。 在 刑事 
公诉 案件 中 ,是 否 进行 检验 /鉴定 ,在 侦查 阶段 由 执法 部 门 决定 ,县 级 以 上 的 公安 机 关 负 责 人 
审批 ,在 起 诉 阶段 由 检察 机 关 决 定 ,在 审判 阶段 由 审判 机 关 决 定 ; 刑事 自诉 、 民 事 、 行 政 等 案 
件 是 否 进行 检验 /鉴定 由 人 民法 院 决定 。 需 要 进行 电子 数据 检验 /鉴定 的 ,应 当 向 检验 /鉴定 
机 构 提 交 《 检 验 /鉴定 委托 书 )、 证 明 送 检 人 身份 的 有 效 证 件 、 委 托 检验 /鉴定 的 检 材 以 及 检 
验 /鉴定 所 需 的 其 他 材料 。 

2. 受理 委托 

电子 数据 检验 /鉴定 机 构 接 到 委托 时 ,应 当 核查 委托 主体 和 有 关 手 续 是 否 符合 要 求 , 鉴 
定 要 求 是 否 符合 本 机 构 的 受理 业务 范围 , 送 检 检 材 有 无 检验 /鉴定 条 件 、 核 对 送 检 检 材 的 名 
称 和 数量 、 检 验 /鉴定 材料 的 完整 性 校 验 值 是 否 正 确 ,封存 清单 中 记载 的 内 容 与 送 检 的 原始 
电子 设备 或 原始 存储 媒介 的 封存 状况 是 否 一 致 。 电 子 数据 检验 /鉴定 委托 手续 、 检 材 核查 无 
误 后 ,检验 /鉴定 机 构 与 委托 方 签 订 检验 /鉴定 协议 ,约定 检验 /鉴定 的 方法 、 时 限 等 。 受 理 检 
验 /鉴定 的 检 材 应 当 按照 有 关 制 度 和 程序 进行 接收 、 标 识 、 流 转 (运输 )、 存 储 ,保护 和 清理 , 保 
证 检 材 的 完整 性 和 原始 性 ,确保 “保管 链 " 记 录 的 完整 性 和 可 追溯 性 ,以 保证 检验 /鉴定 结果 
的 科学 性 和 公正 性 。 

3. 检验 / 鉴定 实施 

电子 数据 检验 /鉴定 应 当 由 两 名 以 上 的 检验 /鉴定 人 员 参 加 ,必要 时 ,可 以 指派 或 者 聘请 
具有 专门 知识 的 人 协助 鉴定 ,电子 数据 检验 /鉴定 机 构 根 据 检验 /鉴定 要 求 ,指定 具有 相关 检 
验 /鉴定 能 力 的 人 员 进 行 检 验 / 鉴 定 。 电 子 数 据 检验 /鉴定 人 员 在 检验 /鉴定 机 构 的 全 面 控制 
下 ,领取 检 材 和 保证 获取 、 分 析 数 据 时 不 会 改变 检 材 的 原始 性 的 设备 ,使 用 国家 、 行 业 标准 或 
经 确认 的 自 定 标准 进行 检验 /鉴定 ,在 规定 时 限 内 完成 检验 /鉴定 工作 ,并 出 具 检验 报告 或 鉴 
定 意 见 。 
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4. 检验 / 鉴定 文书 制作 

电子 数据 检验 /鉴定 完毕 后 ,应 当 制 作 ( 电 子 数据 检验 报告 ) 或 者 (电子 数据 鉴定 意见 》， 
《电子 数据 检验 报告 ) 或 者 (电子 数据 鉴定 意见 ) 应 当 包 含 委 托 单位 、 委 托 人 、 送 检 时 间 , 案 
检验 /鉴定 要 求 , 论 证 报告 ,检验 报告 或 鉴定 意见 《受理 检验 /鉴定 检 材 清单 》， 《提取 电子 证 
据 清单 》, 检 验 /鉴定 过 程 中 生成 的 照片 文档 ,图表 等 其 他 材料 。《 电 子 数据 检验 报告 》 或 者 
《电子 数据 鉴定 意见 》 至 少 应 由 两 名 检验 /鉴定 人 签名 ,鉴定 意见 加 盖 鉴 定 专用 章 。 超 过 两 页 
的 4 电子 数据 检验 报告 ;或 者 (电子 数据 鉴定 意见 》 应 当 在 正面 右 侧 中 部 加 盖 骑 缝 章 。 


8.5.4 网 络 犯罪 侦查 中 电子 数据 检验 / 鉴定 应 用 要 点 


1. 电子 数据 存在 性 检验 / 鉴定 

在 网 络 犯罪 侦查 中 ,常常 需要 查找 如 图 片 、 视 频 、 文 本 等 特定 的 文件 ,确定 这 些 文件 是 否 
被 创建 编辑 \ 保 存 、 发 送 、 打 印 、 播 放 过 ,这 些 文件 可 能 被 删除 或 加 密 , 这 就 需要 对 电子 数据 
的 存在 性 进行 检验 /鉴定 。 通 过 电子 数据 取证 技术 ,能 够 综合 判定 特定 内 容 文件 是 否 被 执行 
了 保存 .访问 .处 理 等 操作 ,进而 确定 电子 数据 的 存在 性 。 

1) 电子 数据 存在 性 检验 /鉴定 的 方法 

。 GB/T 29362 一 2012 电子 物证 数据 搜索 检验 规程 。 

。 GB/T 29360 一 2012 电子 物证 数据 恢复 检验 规程 。 

。GA/T 756 一 2008 数字 化 设备 证 据 数据 发 现 提取 固定 方法 。 

。 GA/T 1174 一 2014 电子 现场 数据 现场 获取 通用 方法 。 

除了 上 述 方法 ,还 可 以 根据 需要 选择 适合 的 国家 标准 ,行业 标准 或 经 过 确认 的 自 定 方法 。 

2) 电子 数据 存在 性 检验 /鉴定 适用 的 案件 类 型 

一 般 适 用 在 泄漏 国家 秘密 (机 密 ) 案 \ 传 播 虚 假 信息 案 、 虚 开发 票 案 、 组 织 他 人 偷 越 国境 
案 、 传 播 淫秽 物品 案 、 伪 造 国 家 机 关公 文 . 证 件 . 印 章 案 等 案件 。 

3) 电子 数据 存在 性 检验 /鉴定 的 思路 

查找 相关 文件 被 保存 .创建 访问、 编辑 .打印 的 记录 ; 根据 文件 的 属性 ,恢复 .解密 文 
件 , 查 找 \ 分 析 可 能 的 记录 信息 ,包括 各 种 日 志 , 历 史记 录 、 缓 存 、 缩 略图 等 ,其 中 历史 记录 不 
仅 是 指 操作 系统 记录 的 最 近 文件 \ 程 序 使 用 记录 ,还 有 编辑 ,播放 传送 、 刻 录 、 处 理 等 软件 中 
的 最 近 使 用 记录 日 志文 件 、 杀 毒 软件 日 志 记 录 , 缩 略图 等 ; 根据 文件 内 容 中 有 代表 性 、 特 定 
意义 的 文字 全 面 搜索 文本 文件 。 

2. 电子 数据 同一 性 检验 / 鉴定 

在 网 络 犯罪 侦查 中 ,通过 电子 数据 取证 技术 ,对 样本 文件 与 检 材 电子 文档 、 网 站 、 软 件 系 
统 等 的 电子 数据 是 否 一 致 或 相似 进行 分 析 和 判断 ,确定 样本 文件 与 检 材 文件 是 否 具有 一 致 
性 ,样本 软件 与 检 材 软件 是 否 具 有 一 致 性 或 相似 性 ,进而 判定 文件 体 、 文 件 内 容 、 软 件 代 码 、 
芯片 架构 结构 及 控制 代码 等 是 否 侵犯 原作 者 的 著作 权 。 
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1) 电子 数据 同一 性 检验 /鉴定 的 方法 
。 GB/T 29361 一 2012 电子 物证 文件 一 致 性 检验 规程 。 
。 GA/T 829 一 2009 电子 物证 软件 一 致 性 检验 技术 规范 。 
。 GA/T 978 一 2012 网 络 游戏 私服 检验 技术 方法 。 
。 GA/T 1171 一 2014 芯片 相似 性 比 对 检验 方法 。 
。 GA/T 1175 一 2014 软件 相似 性 检验 技术 方法 。 
除了 上 述 方法 ,还 可 以 根据 需要 选择 适合 的 国家 标准 ,行业 标准 或 经 过 确认 的 自 定 
方法 。 
2) 电子 数据 同一 性 检验 /鉴定 适用 的 案件 类 型 
一 般 适 用 在 网 络 侵权 、 网 络 资 版 .窃取 商业 机 密 等 案件 。 
3) 电子 数据 同一 性 检验 /鉴定 的 思路 
对 于 一 些 通过 非法 复制 .或 复制 后 更 改 参数 设置 ,更改 图 标 等 方式 修改 电子 数据 的 行 
为 ,可 以 通过 对 文件 的 名 称 、 属 性 .内容 .MD5 值 ,功能 界面 等 的 逐一 对 比分 析 完 成 对 同一 性 
的 分 析 鉴 定 。 但 是 较为 复杂 的 案例 中 ,侵权 者 会 对 程序 源 代码 修改 后 重新 编译 得 到 自己 的 
版 本 ,这 样 得 到 的 程序 文件 在 界面 甚至 功能 上 与 原版 都 可 能 会 有 很 大 的 改动 ,隐蔽 性 较 强 ， 
在 同一 性 的 分 析 与 鉴定 中 很 容易 导致 错误 结论 。 在 这 种 情况 下 ,就 需要 通过 程序 反 编译 至 
源 代码 对 比 \ 数 据 库 结构 对 比 、 程 序 操作 行为 方式 对 比 等 进行 分 析 鉴 定 。 
3. 电子 数据 行为 性 检验 / 鉴定 
在 网 络 违法 犯罪 案件 的 侦办 和 诉讼 过 程 中 ,经 常 需 要 通过 计算 机 、 网 络 运行 过 程 中 产生 
的 行为 痕迹 和 记录 内 容 来 证 明 与 案件 相关 的 行为 事实 ,分 析 和 判断 嫌疑 人 实施 了 哪些 具体 
行为 、 实 施 的 程度 及 其 造成 的 后 果 等 ,这 些 都 有 可 能 成 为 直接 影响 罪 与 非 罪 认 定 的 关键 要 
素 。 这 就 需要 通过 电子 数据 行为 性 的 检验 /鉴定 来 实现 。 
1) 电子 数据 行为 性 检验 /鉴定 的 方法 
。 GB/T 29360 一 2012 电子 物证 数据 恢复 检验 规程 。 
。 GB/T 29361 一 2012 电子 物证 文件 一 致 性 检验 规程 。 
。 GB/T 29362 一 2012 电子 物证 数据 搜索 检验 规程 。 
。GA/T 756 一 2008 数字 化 设备 证 据 数据 发 现 提取 固定 方法 。 
。 GA/T 1069 一 2013 法 庭 科 学 电子 物证 手机 检验 技术 规范 。 
。 GA/T 1070 一 2013 法 庭 科 学 计算 机 开关 机 时 间 检 验 技 术 规 范 。 
。 GA/T 1071 一 2013 法 庭 科学 电子 物证 Windows 操作 系统 日 志 检验 技术 规范 。 
。 GA/T 1170 一 2014 移动 终端 取证 检验 方法 。 
。 GA/T 1172 一 2014 电子 邮件 检验 技术 方法 。 
。 GA/T 1173 一 2014 即时 通讯 记录 检验 技术 方法 。 
。 GA/T 1176 一 2014 网 页 浏览 器 历史 记录 数据 检验 技术 方法 。 
除了 上 述 方法 ,还 可 以 根据 需要 选择 适合 的 国家 标准 ,行业 标准 或 经 过 确认 的 自 定 
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方 滤 。 

2) 电子 数据 行为 性 检验 /鉴定 适用 的 案件 类 型 

一 般 适用 于 非法 侵入 计算 机 信息 系统 罪 ,破坏 计算 机 信息 系统 罪 和 利用 计算 机 实施 金 
融 诈 骗 、 盗 窃 、 贪 污 、 挪 用 公款 、 穷 取 国 家 秘密 或 者 其 他 犯罪 等 案件 。 

3) 电子 数据 行为 性 检验 /鉴定 的 思路 

(1) 对 于 电子 数据 的 持 有 类 行为 ,在 网 络 淫秽 色情 等 类 案件 中 较为 常见 ,一 般 要 分 析 判 
断 计算 机 存储 设备 上 是 否 存储 有 非法 、 违 规 或 与 案件 相关 的 电子 数据 ,包括 电子 文档 、 图 片 
文件 .音频 文件 视频 文件 及 可 执行 文件 等 ,特别 要 注意 对 已 删除 文件 的 恢复 和 提取 。 

(2) 对 于 系统 及 网 络 资源 的 访问 行为 ,一般 可 以 通过 系统 的 访问 痕迹 (如 开机 、 登 录 操 
作 系 统 以 及 对 网 络 的 访问 都 会 在 注册 表 中 留 下 痕迹 ) .文件 的 访问 和 操作 痕迹 (如 文件 的 新 
建 信 息 可 以 通过 文件 的 系列 属性 得 以 体现 ,文件 的 编辑 行为 可 通过 过 程 中 系统 生成 的 系列 
临时 文件 进行 分 析 ,文件 的 删除 行为 需 借助 专门 的 数据 恢复 工具 进行 分 析 ,文档 的 打印 行为 
可 以 从 系统 缓存 文件 或 打印 机 存储 器 中 进行 提取 恢复) 程序 的 安装 和 使 用 痕迹 (计算 机 程 
序 的 安装 一 般 都 会 在 控制 面板 或 注册 表 中 留 下 痕迹 信息 ,即使 印 载 后 ,部 分 数据 信息 也 不 会 
被 完全 删除 ,借助 数据 恢复 能 获取 更 多 的 相关 信息 ,还 可 以 借助 提取 或 恢复 日 志文 件 , 分 析 
和 判断 对 程序 的 使 用 情况 ) 等 ,例如 对 QQ 等 软件 的 使 用 行为 进行 分 析 , 可 以 确定 嫌疑 人 的 
虚实 身份 ,对 案件 侦办 和 证 据 支 撑 具 有 重要 作用 。 

(3) 对 于 与 外 设 的 交互 和 使 用 行为 ,可 以 通过 分 析 相 关系 统 文件 及 注册 表 中 的 信息 , 判 
断 是 否 曾 接 人 过 USB 移动 存储 设备 .光盘 .打印 机 等 外 设 的 情况 ,并 且 可 与 现场 勘查 工作 互 
为 配合 ,发 现 、 核 对 现场 外 部 存储 等 电子 设备 。 

4. 电子 数据 功能 性 检验 / 鉴定 

电子 数据 功能 性 检验 /鉴定 是 利用 电子 数据 取证 技术 ,分 析 、 判 断 计 算 机 程序 的 主要 功 
能 ,在 网 络 犯罪 侦查 中 ,以 木马 .病毒 等 恶意 程序 为 主 ,对 恶意 程序 的 运行 机 制 , 危 害 后 果 等 
功能 进行 分 析 、 检 验 /鉴定 。 

1) 电子 数据 功能 性 检验 /鉴定 的 方法 

。 GA/T757 一 2008 程序 功能 检验 方法 。 

。 GA/T 828 一 2009 电子 物证 软件 功能 检验 技术 规范 。 

。 GA/T 1170 一 2014 移动 终端 取证 检验 方法 。 

除了 上 述 方法 ,还 可 以 根据 需要 选择 适合 的 国家 标准 、 行 业 标 准 或 经 过 确认 的 自 定 
Ba 

2) 电子 数据 功能 性 检验 /鉴定 适用 的 案件 类 型 

一 般 适 用 在 非法 侵入 计算 机 信息 系统 破坏 计算 机 信息 系统 、 利 用 计算 机 实施 金融 盗 
窃 .诈骗 犯罪 ,利用 计算 机 程序 进行 犯罪 等 案件 。 

3) 电子 数据 功能 性 检验 /鉴定 的 思路 

电子 数据 功能 性 检验 /鉴定 主要 是 利用 逆向 分 析 、 沙 盒 、 网 络 抓 包 分 析 等 技术 ,对 计算 机 
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程序 的 功能 .运行 机 制 等 关键 部 分 进行 分 析 和 研究 ,进而 掌握 其 破坏 性 和 感染 方式 等 特征 。 

5. 电子 数据 真实 性 检验 / 鉴定 

随 着 信息 化 技术 的 迅速 发 展 和 普及 应 用 ,电子 数据 越 来 越 多 地 承担 起 了 传递 ,展示 ,证 
明 关 键 环 节 和 内 容 的 作用 ,特别 是 在 网 络 交 易 、 电 子 商务 中 电子 数据 会 作为 主要 交易 凭据 ， 
然而 电子 数据 具有 易 修 改 的 特性 ,在 网 络 犯罪 侦查 中 ,需要 利用 电子 数据 取证 技术 ,分 析 、 判 
断 电 子 签名 、 电 子 邮件 、 即 时 通信 等 电子 数据 是 否 被 算 改 、 是 否 真实 可 信 等。 

1) 电子 数据 真实 性 检验 /鉴定 的 方法 

。 GA/T 1172 一 2014 电子 邮件 检验 技术 方法 。 

。 GA/T 1173 一 2014 即时 通讯 记录 检验 技术 方法 。 

。 SF/Z JD0401001 一 2014 电子 邮件 鉴定 实施 规范 。 

除了 上 述 方法 ,还 可 以 根据 需要 选择 适合 的 国家 标准 .行业 标准 或 经 过 确认 的 自 定 
施法 5 

2) 电子 数据 真实 性 检验 /鉴定 适用 的 案件 类 型 

一 般 适 用 在 泄漏 国家 秘密 (机 密 ) 案 、 传 播 虚 假 信息 案 、 虚 开发 票 案 、 伪 造 国家 机 关公 文 、 
证 件 . 印 章 案 .网 络 侵权 、 网 络 盗版 .窃取 商业 机 密 、 利 用 计算 机 实施 金融 诈骗 .盗窃 .贪污 、 挪 
用 公款 、 窃 取 国 家 秘密 以 及 妨害 作证 等 案件 。 

3) 电子 数据 真实 性 检验 /鉴定 的 思路 

对 于 电子 邮件 的 真实 性 需要 通过 邮件 头 信息 是 否 完整 ,是否 合 理 , 邮 件 内 容 及 附件 代码 
与 邮件 头 相关 代码 是 否 一 致 ,邮件 内 容 的 书写 习惯 ,发 信 动 作 是 否 与 存在 异常 ,邮件 服务 器 
附加 的 邮件 头 内 容 是 否 符 合 邮 件 系统 规则 等 方法 进行 同一 性 的 分 析 鉴 定 。 对 于 即时 通讯 记 
录 的 真实 性 检验 /鉴定 需要 通过 即时 通讯 软件 自身 是 否 有 防臭 改 措施 ,即时 通讯 记录 代码 和 
规则 是 否 符 合 即时 通讯 软件 规则 ,通过 侦查 实验 的 方式 分 析 判 断 即 时 通讯 记录 时 间 是 否 受 
终端 设备 .网 络 设备 的 影响 等 方法 进行 分 析 鉴定 。 对 于 图 片 . 音 视 频 文件 .电子 文档 ` 数 据 库 
等 电子 数据 的 真实 性 一 般 通过 文件 是 否 有 编辑 类 软件 的 痕迹 、 数 据 格 式 是 否 一 致 ,或 结合 生 
成 文件 的 电子 设备 上 的 痕迹 进行 综合 判断 等 方法 进行 分 析 鉴 定 。 


8.5.5 检验 报告 .鉴定 意见 的 审查 


最 高 人 民法 院 ( 关 于 适用 二 中 华人 民 共 和 国 刑事 诉讼 法 二 的 解释 )( 以 下 简称 (解释 )) 第 
八 十 四 条 规定 : 对 鉴定 意见 应 当 着 重审 查 以 下 内 容 : 

(一 ) 鉴定 机 构 和 鉴定 人 是 否 具有 法 定 资质 ; 

(二 ) 鉴定 人 是 否 存 在 应 当 回 避 的 情形 ; 

(三 ) 检 材 的 来 源 、. 取 得 、 保 管 、. 送 检 是 否 符合 法 律 .有 关 规 定 , 与 相关 提取 笔录 .扣押 物 
品 清单 等 记载 的 内 容 是 否 相 符 , 检 材 是 否 充 足 、 可 靠 ; 

(四 ) 鉴定 意见 的 形式 要 件 是 否 完备 ,是 否 注 明 提起 鉴定 的 事由 、 鉴 定 委托 人 、 鉴 定 机 
构 、. 鉴 定 要 求 ,鉴定 过 程 ,鉴定 方法 ,鉴定 日 期 等 相关 内 容 , 是 否 由 鉴定 机 构 加 盖 司 法 鉴定 专 
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用 章 并 由 鉴定 人 签名 ` 盖 章 ; 

(五 ) 鉴定 程序 是 否 符合 法 律 、 有 关 规 定 ; 

(六 ) 鉴定 的 过 程 和 方法 是 否 符 合 相关 专业 的 规范 要 求 ; 

(七 ) 鉴定 意见 是 否 明确 ; 

( 八 ) 鉴定 意见 与 案件 待 证 事实 有 无 关联 ; 

( 九 ) 鉴定 意见 与 勘 验 、 检 查 笔 录 及 相关 照片 等 其 他 证 据 是 否 矛 盾 ; 

(十 ) 鉴定 意见 是 否 依法 及 时 告知 相关 人 员 , 当事人 对 鉴定 意见 有 无 异议 。 

同时 ,解释 ?第 八 十 七 条 规定 :“ 对 检验 报告 的 审查 与 认定 ,参照 适用 本 节 的 有 关 规 
定 .” 电 子 数据 检验 机 构 、 检 验 人 ,检验 过 程 , 检 验方 法 赋予 与 电子 数据 鉴定 同样 的 要 求 , 使 其 
具有 同等 的 法 律 效 力 。 因 此 ,无 论 是 电子 数据 鉴定 意见 还 是 检验 报告 ,无 论 是 内 部 审核 ,还 
是 检察 院 和 法 院 审 核 ,都 需要 按照 上 述 规定 ,认真 审查 真实 性 、 关 联 性 和 合法 性 。 


8.6 本 章 小 结 


本 章 通 过 概述 电子 数据 取证 的 定义 、 法 律 和 标准 ,阐述 了 电子 数据 取证 在 网 络 犯 罪 侦 查 中 
的 重要 实战 作用 ,阐明 了 强化 电子 数据 取证 侦查 思维 和 网 络 犯罪 侦查 证 据 意识 的 重要 意义 和 
方法 ,从 现场 ,单机 、 服 务 器 、 网 络 等 维度 讲解 了 电子 数据 取证 的 基本 流程 和 注意 事项 ,分 类 阐 
述 了 电子 数据 检验 /鉴定 的 常规 应 用 的 技术 方法 规范、 适用 案件 种 类 和 取证 要 点 ,介绍 了 证 
据 审 查 和 检验 鉴定 人 员 出 庭 作 证 的 注意 事项 。 通 过 本 章 的 学 习 , 要 建立 以 侦查 思维 \ 证 据 意 
识 为 引领 的 思维 习惯 ,掌握 电子 数据 取证 流程 、 注 意 事 项 和 基本 的 取证 方法 ,熟悉 电子 数据 
检验 /鉴定 的 范围 .适用 案件 类 型 及 相关 要 点 ,了 解 证 据 审查 的 要 点 和 出 庭 作证 的 注意 事项 。 


思 考 题 


1. 简 述 电子 数据 取证 的 概念 。 

2. 简 述 电子 数据 取证 在 网 络 犯罪 侦查 中 的 作用 。 
3. 简 述 侦查 思维 的 概念 ,特征 和 基本 方法 。 

4. 简 述 证 据 意识 的 概念 。 

5. 简 述 电子 数据 取证 的 基本 原则 。 

6. 简 述 网 络 犯罪 现场 勘 验 的 流程 。 

7. 简 述 移动 智能 终端 取证 的 基本 流程 。 

8. 简 述 服务 器 的 勘 验 流程 。 
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. 简 述 电子 数据 检验 /鉴定 的 应 用 范围 。 
10. 简 述 电子 数据 检验 报告 .鉴定 意见 的 审查 内 容 。 


非法 侵 人 计算 机 信息 系统 案件 侦查 


本 章 学 习 目 标 

。 非法 侵入 计算 机 信息 系统 的 概念 

。 非法 侵入 计算 机 信息 系统 犯罪 的 犯罪 构成 
。 非法 侵入 计算 机 信息 系统 案件 的 类 型 

。 非法 侵入 计算 机 信息 系统 案件 的 特点 

。 非法 侵入 计算 机 信息 系统 案件 的 法 律 约束 
。 非法 侵入 计算 机 信息 系统 案件 的 侦查 要 点 
。 非法 侵入 计算 机 信息 系统 案件 的 证 据 要 点 
。 非法 侵入 计算 机 信息 系统 案例 剖析 


近年 来 ,根据 不 完全 统计 ,互联 网 上 平均 每 10 台 计 算 机 中 有 8 台 曾 受到 黑客 人 侵 和 控 
制 ,公安 机 关 受 理 的 黑客 入 侵 控制 的 相关 案件 平均 每 年 增长 110% 。 非 法 侵入 计算 机 信息 
系统 将 对 国家 安全 和 经 济 运行 造成 巨大 的 威胁 。 


9.1 非法 侵入 计算 机 信息 系统 的 概念 


根据 1994 年 2 月 18 日 国务 院 颁 布 的 (计算 机 信息 系统 安全 保护 条 例 ) 第 二 条 规定 , 计 
算 机 信息 系统 是 指 * 由 计算 机 及 其 相关 的 和 配套 的 设备 ( 含 网 络 ) ,设施 构成 的 ,按照 一 定 的 
应 用 目标 和 规则 ,对 信息 采集 、 加 工 、 存 储 、 传 给、 检索 等 处 理 的 人 机 系统 ”。 

最 高 人 民法 院 、 最 高 人 民 检 察 院 ( 关 于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 
若干 问题 的 解释 (简称 (危害 计算 机 信息 系统 安全 犯罪 解释 )) 第 十 一 条 第 一 款 :“ 本 解释 所 
称 “ 计 算 机 信息 系统 "和 “计算 机 系统 ”, 是 指 具备 自动 处 理 数 据 功能 的 系统 ,包括 计算 机 、 网 
络 设备 .通信 设备 .自动 化 控制 设备 等 .一般 认为 ,计算 机 信息 系统 和 计算 机 系统 没有 区 别 ， 
属于 一 个 概念 。 
非法 侵入 计算 机 信息 系统 是 指 * 违 反 国 家 规定 .侵入 国家 事务 、 国 防 建设 、 0 
领域 的 计算 机 信息 系统 的 行为 "。 此 类 犯罪 侵犯 的 客体 是 国家 事务 、 国 防 建设 .尖端 科学 
De pr ee en, 
获取 计算 机 管理 权限 。 
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“国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 "是 国家 安全 和 国民 经 济 的 命脉 ,所 以 这 类 案 
件 对 于 国家 安全 和 社会 稳定 危害 极 大 ,是 非常 典型 的 黑客 入侵 案件 。 

但 是 对 于 “国家 事务 、 国 防 建设 .尖端 科学 技术 领域 ", 业 界 一 直 有 争论 ,司法 实践 中 也 和 暂 
时 无 法 将 其 严格 定义 。 在 这 种 情况 下 ,法 学 界 进行 模糊 处 理 , 按 照 (危害 计算 机 信息 系统 安 
全 犯罪 解释 的 规定 ,是 否 属于 国家 事务 、 国 防 建 设 、 尖 端 科学 技术 领域 的 计算 机 信息 系统 ， 
由 省 级 以 上 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 检验 结论 ， 
并 结合 案件 具体 情况 认定 。 


9.2 非法 侵入 计算 机 信息 系统 的 犯罪 构成 


9.2.1 犯罪 主体 


非法 侵入 计算 机 信息 系统 罪 的 主体 , 指 达到 法 定 责任 年 龄 ,具有 刑事 责任 能 力 ,实施 非 
法 侵入 特定 的 计算 机 信息 系统 罪行 为 的 人 或 单位 。 

非法 侵入 计算 机 信息 系统 罪 的 主体 .一般 是 具有 较 高 的 计算 机 专业 知识 和 操作 技能 水 
平 的 人 员 或 者 由 这 些 人 员 组 成 的 组 织 。 这 些 人 ,主要 为 黑客 和 "脚本 小 子 ”。 其 中 黑客 分 为 
和 白 帽 子 黑 客 和 灰 帽 子 黑客 。 白 帽子 黑客 一 般 和 侵 后 采取 警告 .留言 等 动作 提醒 信息 系统 所 
有 人 ,以 达到 弥补 系统 漏洞 ,加 强 安全 性 的 目的 。 灰 帽子 黑客 和 ”脚本 小 子 " 相 比 仅仅 是 技术 
水 平 的 不 同 ,“ 脚 本 小 子 "一 般 奉行 拿 来 主义 ,利用 现成 的 工具 实施 入侵 ; 灰 帽 子 黑客 则 是 利 
用 自身 技术 实施 和信 侵 。 在 入 侵 的 主观 故意 上 ,二 者 并 无 不 同 , 都 是 为 了 自身 利益 ,实施 穷 取 、 
非法 持 有 ,非法 散布 各 类 秘密 等 ,其 危害 性 更 为 严重 。 

网 络 犯罪 的 演变 ,使 得 有 组 织 的 侵入 行为 逐渐 出 现 并 形成 规模 ,因此 犯罪 主体 不 仅 可 以 
是 个 人 ,也 可 以 是 单位 。 具 体 来 说 ,单位 的 犯罪 主体 是 其 直接 负责 的 主管 人 员 和 其 他 直接 责 
任 人 员 。 


9.2.2 犯罪 客体 


犯罪 客体 在 犯罪 构成 要 件 中 是 说 明 某 种 犯罪 危害 了 什么 样 利益 的 要 件 。 非 法 侵入 计算 
机 信息 系统 罪 列 入 刑法) 妨害 社会 管理 秩序 罪 一 章 , 但 其 侵害 的 客体 不 仅仅 局 限于 国家 事 
务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 安全 ,还 包括 社会 管理 秩序 ,同时 也 涉 
及 公共 安全 公私 财产 所 有 权 等 。 因 此 ,非法 侵入 计算 机 信息 系统 罪 侵 犯 的 是 复杂 客体 。 在 
非法 侵入 计算 机 信息 系统 犯罪 中 ,一 方面 侵犯 了 计算 机 系统 所 有 人 的 排他 性 权益 ,如 国家 、 
企业 的 所 有 权 、 使 用 权 和 处 置 权 ; 另 一 方面 又 扰乱 、 侵 害 甚 至 破坏 了 国家 计算 机 信息 管理 秩 
序 , 同 时 还 有 可 能 对 受害 的 计算 机 系统 当中 数据 所 涉及 的 第 三 人 权益 造成 危害 。 实 施 非法 
侵入 计算 机 信息 系统 罪 , 必 然 要 违反 国家 的 管理 ,从 而 破坏 这 种 管理 秩序 。 这 是 非法 侵入 计 
算 机 信息 系统 罪 在 犯罪 客体 方面 的 显著 特征 。 
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9.2.3 犯罪 的 主观 要 件 


犯罪 的 主观 要 件 是 说 明 犯 罪 主 体 实施 犯罪 时 主观 心理 状态 的 要 件 。 非 法 侵入 计算 机 信 
息 系统 罪 的 主观 方面 是 故意 ,即行 为 人 明知 是 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计 
算 机 信息 系统 ,仍然 违反 国家 规定 故意 实施 非法 侵入 行为 ,产生 的 结果 是 行为 人 希望 发 
生 的 。 
非法 入 侵 计算 机 信息 系统 的 安全 防护 体系 可 能 是 因为 好 奇 ,炫耀 、 消 遗 .泄愤 ,还 可 能 是 
为 了 牟利 。 但 是 本 罪 无 论 是 哪 种 目的 ,即使 是 由 于 过 失 , 因 为 国家 事务 、 国 防 建设 尖端 科学 
的 重要 地 位 ,一 旦 实施 了 这 种 行为 ,就 意味 着 其 具备 主观 故意 。 


9.2.4 犯罪 的 客观 要 件 


犯罪 的 客观 要 件 说 明 犯 罪 是 在 什么 样 的 客观 条 件 下 ,用 什么 样 的 行为 ,使 客体 受到 什么 
样 危害 的 要 件 。 非 法 侵入 计算 机 信息 系统 的 客观 要 件 , 首 先 必须 具备 违反 国家 规定 的 事实 。 
《刑法 ) 第 九 十 六 条 对 此 作 了 明确 规定 :“ 违 反 全 国人 民 代 表 大 会 及 其 常务 委员 会 制定 的 法 
律 和 决定 ,国务 院 制定 的 行政 法 规 、 规 定 的 行政 措施 、 发 布 的 决定 和 命令 .” 其 次 ,具有 “侵入 ” 
行为 。 所 谓 “ 侵 入”, 就 是 通过 计算 机 非法 或 越权 “访问 "计算 机 信息 系统 ,而 且 非 法 侵入 的 是 
国家 事务 、 国 防 建设 和 尖端 技术 领域 的 计算 机 信息 系统 。 


9.3 非法 侵入 计算 机 信息 系统 的 类 型 


非法 侵入 计算 机 信息 系统 的 主要 目的 是 突破 计算 机 信息 系统 的 安全 防护 ,获得 计算 机 
信息 系统 的 权限 。 根 据 权 限 获得 途径 的 不 同 , 非 法 侵入 计算 机 信息 系统 可 以 分 为 以 下 几 类 。 


9.3.1 内 部 入 侵 


堡垒 往往 都 是 从 内 部 攻破 的 。 侵 入 计算 机 信息 系统 的 行为 人 有 时 会 是 单位 的 员工 , 尽 
管 他 们 拥有 权限 ,但 是 却 未 经 授权 ,滥用 权限 的 目的 是 为 了 非法 的 目的 。 内 部 入 侵 的 破坏 性 
是 巨大 的 ,而 且 很 容易 隐藏 踪迹 。 例 如 2007 年 , 某 市 社保 中 心计 算 机 系统 被 单位 员工 采取 
黑客 技术 攻破 ,将 死亡 人 员 激 活 , 冒 领 社保 金 。 内 部 人 员 由 于 熟悉 系统 架构 、 具 备 获 取 权 限 
的 便利 , 当 以 牟利 为 目的 而 采取 侵入 行为 时 ,其 对 于 国家 事务 ,国防 建设 尖端 科学 技术 领域 
的 计算 机 信息 系统 的 危害 性 是 不 可 想象 的 。 


9.3.2 网 站 渗透 


利用 漏洞 进行 人 侵 活动 ,是 非法 侵入 计算 机 信息 系统 的 典型 方式 。 暴 露 在 互联 网 上 的 
信息 系统 ,尤其 是 政府 网 站 ,往往 会 有 各 种 各 样 的 漏洞 。 中 国 软件 评测 中 心 的 报告 显示 ,其 
评估 的 900 余 家 政府 网 站 中 ,超过 93% 存 在 各 种 危险 等 级 的 安全 漏洞 , 近 50% 网 站 被 监测 
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到 的 安全 漏洞 超过 30 个 。 利 用 漏洞 进行 攻击 的 方式 多 种 多 样 , 其 目的 是 为 了 提高 权限 ( 俗 
称 “ 提 权 ”) ,获得 系统 的 控制 权 。 如 果 直 接 对 一 个 网 站 进行 漏洞 攻击 无 效 的 话 , 行 为 人 往往 
选择 同一 服务 器 上 的 其 他 网 站 做 跳板 ,逐步 攻陷 目标 网 站 ,这 称 为 “ 跨 站 攻击 ”。 在 网 络 安 全 
防护 不 到 位 的 .日 常 维护 不 利 的 前 提 下 ,国家 事务 .国防 建设 尖端 科学 技术 领域 的 计算 机 信 
息 系统 几乎 是 在 “裸奔 ”, 非 常 容易 被 人 侵 。 


9.3.3 木马 控制 


与 利用 漏洞 主动 的 攻击 方式 不 同 , 利 用 木马 进行 被 动 式 的 攻击 也 很 流行 。 行 为 人 利用 
网 站 的 管理 员 或 者 员工 的 不 谨慎 ,点 击 非法 链接 从 而 下 载 木马 ,达到 获取 计算 机 信息 系统 权 
限 的 目的 。 这 种 行为 具有 很 强 的 针对 性 ,隐蔽 性 强 。 一 旦 木马 被 种 植 成 功 ,整个 计算 机 系统 
的 拓扑 和 权限 都 会 被 侵入 者 掌握 ,再 强大 的 安全 防护 也 形同虚设 ,而 且 整个 计算 机 系统 都 会 
面 对 巨 大 威胁 。 


9.4 非法 侵入 计算 机 信息 系统 案件 的 特点 


9.4.1 目标 将 定 、 危 害 性 大 


非法 侵入 计算 机 信息 系统 的 目标 特定 为 国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 的 计算 
机 信息 系统 。 这 些 计算 机 系统 的 网 络 域名 上 一 般 以 gov. cn 结尾 ,具有 鲜明 的 特征 。 近 年 
来 ,黑客 不 断 对 我 国 基础 网 络 设施 ,政府 军队 网 络 ,大 型 国企 等 实施 网 络 渗透 ,有 的 大 肆 张 巾 
反动 标语 旗 毁 党 和 政府 形象 有 的 破坏 网 站 窃取 情报 .获取 商业 机 密 。 黑 客 群体 也 出 于 利 
益 的 诉求 ,例如 入 侵 教育 网 站 增加 学 历 记 录 , 以 达到 贩卖 文凭 的 目的 。 


9.4.2 非法 侵入 是 行为 ,而 非 结果 


非法 侵入 计算 机 信息 系统 的 犯罪 行为 与 其 他 网 络 犯罪 活动 的 最 大 不 同 之 处 是 “行为 
犯 ”, 并 不 以 特定 的 危害 结果 作为 成 立 的 要 件 , 只 要 实施 了 这 种 行为 ,无 论 结果 如 何 ,都 视 同 
犯罪 。 这 也 显示 了 我 国 对 于 国家 事务 网 站 、 国 防 建设 和 人 尖端 技术 领域 的 重视 。 


9.4.3 犯罪 的 隐蔽 性 强 


根据 统计 ,在 发 达 国 家 的 网 络 犯罪 只 有 3% 一 8% 被 发 现 , 而 且 破 案 率 不 到 1%。 非 法 侵 
入 计算 机 信息 系统 的 行为 人 ,往往 具有 较为 高 超 的 计算 机 知识 ,通过 网 络 实施 入 侵 活 动 , 具 
有 高 度 的 隐蔽 性 。 这 是 因为 首先 在 网 络 空间 里 ,行为 人 的 真实 身份 很 难 被 确定 ,其 犯罪 踪迹 
很 容易 被 清除 ; 其 次 ,网 络 犯罪 往往 跨 区 域 甚至 跨国 ,由 于 司法 管辖 权 的 限制 ,即使 被 发 现 
也 难 进行 追查 ; 最 后 ,行为 人 的 技术 水 平 往往 高 于 执法 部 门 ,在 博弈 中 ,执法 机 关 处 于 下 风 ， 
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因此 这 类 犯罪 黑 数 D 高 ,发 现 率 低 , 查 证 率 更 低 。 
9.4.4 犯罪 动机 逐渐 由 争 名 转向 逐 利 


与 早期 的 黑客 攻击 主要 是 为 了 炫耀 自 己 的 技术 不 同 , 近 些 年 来 ,更 多 的 行为 人 通过 入 
侵 ,直接 目的 就 是 为 了 获取 非法 利益 。 大 多 数 行为 人 已 不 再 选用 恶作剧 式 的 攻击 手法 ,而 是 
实施 有 组 织 的 破坏 性 计划 ,利用 互联 网 牟取 不 义 之 财 。 由 于 国家 事务 、 国 防 建设 .尖端 科学 
技术 领域 保存 有 大 量 国防 、 经 济 数据 和 公民 隐私 信息 ,这 些 都 可 以 在 网 络 黑市 出 售 ,因此 很 
多 入 侵 都 把 目标 直接 指向 了 国家 事务 、 国 防 建设 尖端 科学 技术 领域 的 网 站 。 


9.5 非法 侵入 计算 机 信息 系统 案件 的 法 律 约束 


非法 侵入 计算 机 信息 系统 的 法 律 规定 主要 有 《中 华人 民 共 和 国 刑法 ) 第 二 百 八 十 五 条 第 
一 款 , 以 及 (关于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 若干 问题 的 解释 》( 法 释 
[2011]19 号 ) 第 一 条 。 具 体 的 实施 细则 由 (关于 办 理 网 络 犯 罪案 件 适用 刑事 诉讼 程序 若干 
问题 的 意见 ?规定 。 

《中 华人 民 共 和 国 刑法 ?规定 : 

第 二 百 八 十 五 条 违反 国家 规定 ,侵入 国家 事务 、 国 防 建 设 . 尖 端 科 学 技术 领域 的 计算 机 
信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 

《关于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 若 干 问题 的 解释 》( 法 释 L2011] 
19 号 ) 对 非法 侵入 计算 机 信息 系统 的 犯罪 的 危害 程度 进行 了 具体 规定 : 

第 十 条 ”对 于 是 否 属于 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 规定 的 “国家 事务 、 国 防 
建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 “专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 
程序 .工具 ”“ 计 算 机 病毒 等 破坏 性 程序 "难以 确定 的 ,应 当 委 托 省 级 以 上 负责 计算 机 信息 系 
统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 检验 结论 ,并 结合 案件 具体 情况 认定 。 


9.6 非法 侵入 计算 机 信息 系统 案件 的 侦查 要 点 


9.6.1 案件 管辖 

非法 侵入 计算 机 信息 系统 的 侦查 包 根 据 是 刑法 总 则 规定 的 第 六 条 第 三 款 , 即 “犯罪 的 行 
为 或 者 结果 有 一 项 发 生 在 中 华人 民 共 和 国 领域 内 的 ,就 认为 是 在 中 华人 民 共 和 国 领域 内 犯 
罪 ”。 因 此 非法 控制 计算 机 信息 系统 的 行为 在 中 国境 内 实施 ,或 在 中 国境 内 引起 相关 后 果 之 


外 ”犯罪 黑 数 ,又 称 犯罪 暗 数 或 刑事 隐 案 ,是 指 虽 已 发 生 但 由 于 种 种 原因 未 被 发 现 或 者 未 予 记载 的 犯罪 数量 。 
加 ” 刘 浩 阳 . 电子 数据 取证 . 北京 : 清华 大 学 出 版 社 ,2015 
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一 ,就 可 以 立案 管辖 。 因 此 ,即使 非法 侵入 者 并 不 在 我 国境 内 ,但 是 只 要 是 针对 中 国境 内 的 
目标 ,实施 了 犯罪 行为 或 者 达到 犯罪 结果 ,仍然 属于 我 国法 律 的 案件 管辖 范围 。 

具体 的 案件 关系 , 则 依据 (关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 》 
第 二 条 、 第 三 条 的 规定 ,网 络 犯罪 案件 由 犯罪 地 公安 机 关 立 案 侦查 。 必 要 时 ,可 以 由 犯罪 嫌 
疑 人 居住 地 公安 机 关 立 案 侦 查 。 网 络 犯罪 案件 的 犯罪 地 包括 用 于 实施 犯罪 行为 的 网 站 服务 
器 所 在 地 ,网 络 接 入 地 ,网 站 建立 者 ,管理 者 所 在 地 ,被 侵害 的 计算 机 信息 系统 或 其 管理 者 所 
在 地 ,犯罪 嫌疑 人 、 被 害 人 使 用 的 计算 机 信息 系统 所 在 地 ,被 害 人 被 侵害 时 所 在 地 ,以 及 被 害 
人 财产 遭受 损失 地 等 。 涉 及 多 个 环节 的 网 络 犯罪 案件 ,犯罪 嫌疑 人 为 网 络 犯罪 提供 帮助 的 ， 
其 犯罪 地 或 者 居住 地 公安 机 关 可 以 立案 侦查 。 有 多 个 犯罪 地 的 网 络 犯罪 案件 ,由 最 初 受理 
的 公安 机 关 或 者 主要 犯罪 地 公安 机 关 立 案 侦查 。 有 争议 的 ,按照 有 利于 查 清 犯罪 事实 ` 有 利 
于 诉讼 的 原则 ,由 共同 上 级 公安 机 关 指 定 有 关公 安 机 关 立 案 侦查 。 需 要 提请 批准 逮捕 移送 
审查 起 诉 、 提 起 公诉 的 ,由 该 公安 机 关 所 在 地 的 人 民 检 察 院 、 人 民法 院 受理 。 


9.6.2 立案 审查 


立案 是 指 公 安 司法 机 关 对 于 报案 .控告 .举报 .自首 以 及 自诉 人 起 诉 等 材料 ,按照 各 自 
的 管辖 范围 进行 审查 后 ,认为 有 犯罪 事实 发 生 并 需要 追究 刑事 责任 时 ,决定 将 其 作为 刑事 案 
件 进 行 侦查 或 者 审判 的 一 种 诉讼 活动 。 

刑事 诉讼 法 规定 ,任何 单位 和 个 人 发 现 有 犯罪 事实 或 者 犯罪 嫌疑 人 ,有 权利 也 有 义务 向 
公安 机 关 、 人 民 检 察 院 或 者 人 民法 院 报案 或 者 举报 。 被 害 人 对 侵犯 其 人 身 .财产 权利 的 犯罪 
事实 或 者 犯罪 嫌疑 人 ,有 权 向 公安 机 关 、 人 民 检 察 院 或 者 人 民法 院 报案 或 者 控告 。 公 安 机 
关 、 人 民 检 察 院 或 者 人 民法 院 对 于 报案 ,控告 .举报 ,都 应 当 接 受 。 对 于 不 属于 自己 管辖 的 ， 
应 当 移 送 主管 机 关 处 理 , 并 且 通 知 报 案 人 、 控 告 人 、 举 报 人 ; 对 于 不 属于 自己 管辖 而 又 必须 
采取 紧急 措施 的 ,应 当先 采取 紧急 措施 ,然后 移送 主管 机 关 。 

公安 机 关 办 理 刑 事 案 件 程序 规定 关于 立案 的 要 求 是 : 公安 机 关 接受 案件 后 ,经 审查 , 认 
为 有 犯罪 事实 需要 追究 刑事 责任 , 且 属 于 自己 管辖 的 ,经 县 级 以 上 公安 机 关 负 责 人 批准 , 予 
以 立案 ; 认为 没有 犯罪 事实 ,或 者 犯罪 事实 显著 轻微 不 需要 追究 刑事 责任 .或 者 具有 其 他 依 
法 不 追究 刑事 责任 情形 的 ,经 县 级 以 上 公安 机 关 负 责 人 批准 ,不 予 立 案 。 

非法 侵入 计算 机 信息 系统 的 报案 途径 ,大 多 是 国家 事务 .国防 建设 .尖端 科学 技术 领域 
的 计算 机 信息 系统 的 所 有 者 发 现 报 案 , 少 数 是 执法 部 门 网 上 巡查 、 群 众 举报 获得 的 信息 。 无 
论 哪 种 报案 形式 ,由 于 非法 侵入 计算 机 信息 系统 属于 “行为 犯 ” ,都 应 该 立案 进行 侦查 。 

非法 侵入 计算 机 信息 系统 的 立案 审查 ,首先 要 确定 侵入 的 对 象 是 否 属于 国家 事务 .国防 
建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 。 对 于 是 否 属于 “国家 事务 .国防 建设 .尖端 科学 
技术 领域 的 计算 机 信息 系统 ”, 在 省 级 以 上 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检 
验 结论 的 基础 上 判定 。 其 中 ,“ 国 防 建设 .尖端 科学 技术 领域 ”这 两 类 计算 机 信息 系统 是 比较 
容易 判断 和 识别 的 。 但 是 国家 事务 的 范围 过 于 宽泛 ,例如 某 些 行 业 协 会 ,域名 也 是 gov. cn 
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结尾 ,还 有 某 些 政府 事务 是 否 属于 国家 事务 的 范畴 ,也 存在 争议 ,判定 计算 机 信息 系统 是 否 
属于 国家 事务 ,还 是 主要 依赖 检验 结论 。 期 待 未 来 能 够 出 台 一 个 清晰 的 判定 标准 ,以 利于 打 
击 非 法 侵入 计算 机 信息 系统 案件 。 其 次 是 否 实施 了 侵入 行为 ,获得 系统 权限 ,达到 了 入 侵 目 
的 ,其 行为 为 未 授权 , 则 可 以 确定 为 侵入 计算 机 信息 系统 。 这 种 行为 ,可 以 通过 权限 账号 是 
否 正常 ,系统 运行 是 否 正 常 进行 判断 ,也 可 以 在 网 站 所 有 者 的 技术 人 员 或 者 侦查 部 门 的 技术 
人 员 支 持 下 判定 。 


9.6.3 侦查 措施 和 流程 


根据 (中 华人 民 共和 国 刑法 ) 的 定义 ,非法 侵入 计算 机 信息 系统 和 非法 获取 计算 机 信息 
系统 数据 ,控制 计算 机 信息 系统 是 两 种 不 同 的 罪名 ,二 者 是 以 犯罪 的 对 象 ,不 是 以 犯罪 的 手 
段 为 标准 而 划分 的 犯罪 类 型 。 二 者 使 用 的 技术 相似 ,但 是 本 质 不 同 。 非 法 侵入 计算 机 信息 
系统 往往 是 突然 发 生 的 ,后 果 却 可 能 不 会 被 实时 发 现 。 例 如 入 侵 活动 一 般 在 深夜 ,网 站 信息 
被 算 改 往往 在 第 二 天 上 班 才能 被 发 现 。 为 了 掩盖 自己 的 踪迹 ,侵入 者 往往 采取 删除 日 志 甚 
至 破坏 系统 来 隐藏 踪迹 ,因此 任何 的 线索 和 证 据 都 不 能 被 忽略 。 

1. 入 侵 现 场 的 侦查 

在 非法 侵入 计算 机 信息 系统 案件 中 , 案 发 现场 往往 在 计算 机 设备 上 ,以 虚拟 的 状态 存 
在 。 对 于 计算 机 设备 的 勘 验 检 查 是 关键 ,例如 网 站 服务 器 的 瘫痪 状态 .时 间 , 通 过 日 志 信 息 
分 析 可 能 的 人 侵 方法 ,打开 的 异常 端口 ,非法 账户 ,可 疑 的 文件 等 等 。 通 过 勘 验 ,可 以 判断 人 
侵 的 时 间 方法 。 

具体 来 说 ,非法 侵入 计算 机 系统 的 侦查 重点 是 时 间 和 文件 ,应 当 围 绕 二 者 开展 工作 。 

(1) 确定 受到 攻击 、 入 侵 的 时 间 范 围 , 以 此 为 线索 ,查找 这 个 时 间 范 围 内 可 疑 的 日 志 , 进 
一 步 排查 ,如 图 9.1 所 示 。 


可 疑 IP 


而 下 风纪 的 | [二 年 | 上 [ 砚 定 入 全 | | 确认 入 侵 奇 -还原 
时 间 范 围 “| “| 日 志 分 析 | 4 | 入 侵 特征 | | 手段 侵 过 程 一 


状态 代码 
图 9.1 利用 时 间 分 析 网 络 犯 罪过 程 


(2) 一 般 攻击 者 在 入 侵 网 站 后 ,通常 会 上 传 一 个 后 门 文件 ,以 方便 自己 以 后 访问 ,侦查 
人 员 也 可 以 以 该 文件 为 线索 展开 分 析 , 如 图 9.2 所 示 。 

2. 确定 动机 

在 获得 一 定 的 线索 后 ,要 确定 嫌疑 人 犯罪 动机 .有 助 于 判断 嫌疑 人 的 大 概 信息 , 理 清 侦 
查 方向 。 一 般 非 法 侵入 计算 机 信息 系统 犯罪 有 以 下 几 种 动机 : 一 种 是 不 清楚 法 律 法 规 、 不 
明知 对 象 是 否 属 于 “国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 情况 下 , 利 


第 9 章 非法 侵入 计算 机 信息 系统 案件 侦查 385 


时 间 分 析 

确证 可 颖 文件 | 文件 特征 | 4 [日 志 分 析 ] | 硬 守 全 侵 | | 而 认 入 估 间 训 还 原 
各 找 其 他 
涉案 文件 


图 9.2 利用 文件 分 析 网 络 犯罪 过 程 


用 各 种 黑客 技术 实施 渗透 ,主要 是 为 了 炫耀 技术 或 者 通过 获取 网 站 控制 权 进 行 牟 利 , 牟 利 的 
途径 一 般 是 敲诈 勒索 ,推广 非法 网 站 或 关键 词 . 提 权 后 提供 网 络 流量 ,非法 获取 网 站 考生 信 
息 、 买 家 信息 、 房 地 产 信息 等 数据 、 利 用 被 控制 网 站 “验证 ”各 类 虚假 证 书 等 ; 另 一 种 是 明知 
对 象 是 “国家 事务 .国防 建设 ,尖端 科学 技术 领域 的 计算 机 信息 系统 ”, 成 功 侵入 计算 机 信息 
系统 后 , 算 改 网 页 损坏 党 和 国家 的 形象 ; 盗窃 国 防 建设 和 尖端 科学 技术 领域 数据 ,从 事 间 谍 
活动 等 。 初 步 了 解 非法 侵入 计算 机 信息 系统 犯罪 的 动机 后 (如 图 9. 3 所 示 ) ,能 够 判断 违法 
犯罪 嫌疑 人 的 基本 情况 和 技术 水 平 。 


仿 http/ /www.moe.gov.cn/sofprogecslive/1jsp 
moegov.n x 
Ble Edt View Favortes Tools Help 
价 ~" 国 " 马 凰 ”Bge” Sey” Took” 四 -回避 


Hello im helen 
Ifrom Nanchang 
hackeris Me 


Hacked by Helen QQ 3 ?77 


图 9.3 黑客 人 侵 教 育 部 网 站 , 炫 焰 性 地 留 下 QQ 


3. 涉 网 线索 扩 线 侦查 

非法 侵入 计算 机 信息 系统 犯罪 案件 的 动机 不 同 , 涉 网 线索 的 来 源 和 数量 都 有 所 不 同 。 
对 于 明知 对 象 是 “国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ”而 实施 侵入 行 
为 的 犯罪 ,线索 来 源 主要 可 能 是 通过 现场 获取 的 嫌疑 人 攻击 时 的 IP 地址、 时 间 、 网 页 后 门 密 
码 等 ,被 和 人 侵 系统 的 系统 日 志和 嫌疑 人 遗留 的 文件 .数据 是 侦查 扩 线 的 重要 基础 。 


9.6.4 排查 和 抓 捕 


通过 现场 勘 验 、 网 络 扩 线 获取 关键 线索 .判断 嫌疑 人 的 虚拟 身份 后 ,还 需要 关联 出 嫌疑 
人 的 真实 身份 和 具体 位 置 , 也 就 是 虚拟 与 现实 的 对 应 ,主要 有 几 种 方式 。 一 是 基于 公开 信息 
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的 关联 。 互 联网 是 一 个 开放 的 平台 ,大 型 网 站 、 论 坛 . 微 博 、.QQ 空间 、 微 信 朋 友 圈 等 场所 往 


往 留 存 有 真实 身份 .照片 .联系 方式 等 信息 ,这 是 落地 的 一 种 常用 方法 。 二 是 基于 运营 商 
(ISP) .服务 商 (ICP) 等 单位 留存 信息 的 查询 。 侦 查 中 发 现 的 IP 地址、 虚拟 身份 网银 和 第 


三 方 支付 账号 等 网 络 线索 ,可 以 通过 法 律 授 权 , 要 求 (ISP) (ICP) 提 供 信息 。 


在 充分 固定 嫌疑 人 非法 侵入 计算 机 信息 系统 有 关 证 据 、 基 本 摸 清 嫌 疑 人 真实 身份 和 活 
动 轨迹 后 ,可 以 对 嫌疑 人 实施 抓 捕 。 在 抓 捕 的 同时 ,要 围绕 证 据 进行 搜查 和 扣押 ,为 案件 后 


期 进一步 固定 证 据 、 形 成 证 据 链 打下 基础 。 
9.6.5 询问 和 讯问 


于 非法 侵入 计算 机 信息 系统 嫌疑 人 具有 一 定 计算 机 知识 ,往往 是 个 人 或 者 小 团体 
对 于 嫌疑 人 的 讯问 ,要 问 清 其 使 用 的 入 侵 方 法 、 入 侵 过 程 ,并 注意 记录 其 虚拟 身份 。 


这 就 决定 了 这 种 类 型 案件 的 讯问 与 普通 刑事 案件 侦查 讯问 有 明显 区 别 ,主要 有 以 下 


要 点 : 


非法 侵入 计算 机 信息 系统 不 存在 传统 犯罪 的 物理 现场 ,犯罪 隐蔽 性 强 , 证 据 容 易 被 毁 
灭 ,还 存在 着 分 工 合作 进行 人 侵 活动 的 可 能 。 在 讯问 时 ,入 侵 行为 的 主要 事实 和 关键 过 程 是 


讯问 要 重视 与 前 期 侦查 、 现 场 勘 验 获得 的 电子 数据 相互 印证 。 在 讯问 前 ,侦查 人 员 应 详 
细 了 解 案情 .人 侵 后 果 , 侦 查获 得 线索 和 数据 ,以 及 现场 勤 验 时 对 嫌疑 人 的 电子 设备 勘 验 取 
证 获得 的 数据 ,对 嫌疑 人 人 侵 的 时 间 、 地 点 ,情节 、 后 果 进 行 分 析 , 尽 可 能 多 地 掌握 嫌疑 人 与 
侵入 行为 相关 的 情况 。 选 准 讯问 的 突破 口 ,重点 是 嫌疑 人 作案 的 动机 ` 人 侵 的 经 过 、 使 用 的 
工具 、 有 无 上 下 线 和 团伙 勾 连 情况 。 整 个 讯问 工作 是 一 个 螺旋 形 上 升 的 过 程 ,嫌疑 人 的 供 
述 , 对 进一步 提取 、 固 定 电子 数据 以 及 其 他 证 据 具 有 重要 的 指引 作用 。 侦 查 人 员 应 当 根 据 供 


述 ,进一步 提取 电子 数据 ,并 利用 这 些 数 据 进 行 新 一 轮 的 讯问 。 


根据 非法 侵入 计算 机 信息 系统 犯罪 特点 ,侦查 询问 应 当 从 报案 时 开始 ,延续 到 侦查 终结 
的 各 个 环节 中 。 对 报案 人 员 或 计算 机 信息 系统 维护 人 员 着 重 询问 以 下 内 容 : 被 侵入 的 计算 
机 信息 系统 的 网 络 拓扑 ,发 现 入 侵 的 时 间 ,被 人 侵 的 过 程 、 原 有 的 安全 措施 ,包括 系统 访问 权 
限 、 防 火 墙 的 配置 ,发现 人 侵 后 做 的 措施 ,是 否 无 意 地 执行 了 毁灭 证 据 等 等 操作 ,这些 有 利于 


侦查 工作 的 开展 ,并 根据 这 些 信 


息 获取 关键 线索 。 尤 其 是 非法 侵入 计算 机 信息 系统 造成 的 


后 果 , 如 网 站 页 面 被 替换 为 博彩 、 色 情 、 办 证 等 页 面 ,是 否 被 植 和 后门 、 网 站 功能 是 否 受 到 影 
响 等 ,这 些 工作 为 后 期 电子 数据 勘 验 和 发 现 线索 提供 方向 。 依 法 对 了 解 被 侵入 计算 机 信息 


系统 有 关 情 况 人 员 进 行 询问 的 侦查 活动 ,是 调查 取证 的 一 个 有 效 途 径 。 
抓获 嫌疑 人 后 ,嫌疑 人 的 行为 ,可 以 借助 与 其 有 联系 的 人 ,例如 父母 朋友、 利益 关联 者 


通过 询问 的 方式 进行 验证 ; 侵入 的 后 果 , 通 过 对 被 害 人 、 被 害 单位 询问 系统 的 异常 情况 、 受 


到 的 破坏 等 方面 进行 验证 。 
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9.6.6 现场 勘查 


此 类 案件 中 计算 机 信息 系统 是 直接 的 受害 对 象 , 所 以 电子 数据 勘查 在 此 类 案件 中 显得 
尤为 重要 。 勘 查 的 对 象 一 般 是 被 非法 侵入 的 网 站 服务 器 、 嫌 疑 人 使 用 的 计算 机 ,主要 包括 被 
非法 侵入 计算 机 信息 系统 的 现场 和 嫌疑 人 使 用 计算 机 的 现场 。 从 被 非法 侵入 计算 机 信息 系 
统 中 勘 验 找到 涉案 的 重要 线索 和 证 据 , 与 嫌疑 人 使 用 的 计算 机 中 有 关 证 据 形 成 证 据 链条 。 

1. 被 非法 侵入 服务 器 的 现场 勘查 

为 了 能 快速 提取 、 分 析 与 案件 相关 的 数据 .记录 ,固定 与 案件 相关 的 易 丢 失 数据 , 拿 到 与 
案件 相关 的 第 一 手 资料 ,可 以 按照 (计算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 ) 中 的 规范 流 
程 ,制定 勘查 计划 \ 准 备 勘查 设备 ,保护 案件 现场 ,对 被 非法 侵入 的 计算 机 信息 系统 开展 现场 
勘 验 ,主要 包括 : 

1) 分 析 服 务 器 系统 日 志 

系统 日 志 是 记录 系统 中 硬件 .软件 和 系统 问题 的 信息 ,同时 还 可 以 监视 系统 中 发 生 的 事 
件 。 用 户 可 以 通过 它 来 检查 错误 发 生 的 原因 ,或 者 寻找 受到 攻击 时 攻击 者 留 下 的 痕迹 。 系 
统 日 志 包 括 系统 日 志 、 应 用 程序 日 志和 安全 日 志 。 嫌 疑 人 在 非法 侵入 计算 机 信息 系统 过 程 
中 ,可 能 会 新 增 账户 .修改 权限 ,这 些 操 作 会 在 服务 器 应 用 程序 日 志和 安全 性 日 志 中 留 下 记 
录 , 根 据 这 些 日 志 信息 能 够 获取 嫌疑 人 的 网 络 特征 和 关键 线索 。Windows 类 服务 器 可 通过 
日 志 查 看 器 直接 查看 ; UNIX 类 服务 器 可 直接 查看 系统 日 志 /etc/syslog. conf 等 文件 。 根 
据 这 些 日 志 结 合 案 发 时 间 、webshell 文件 等 线索 分 析出 黑客 入 侵 使 用 的 IP 地 址 、 新 增 的 管 
理 员 账 号 (如 图 9.4 所 示 )、 机 器 名 等 信息 。 

2) 分 析 Web 日 志 

网 站 的 Web 日 志 作 为 服务 器 重要 的 组 成 部 分 ,详细 记录 了 服务 器 运行 期 间 客 户 端 对 
Web 应 用 的 访问 请 求 和 服务 器 的 运行 状态 。 嫌 疑 人 在 入 侵 网 站 时 ,不 管 是 对 网 站 进行 扫 
描 、 上 传 .SQL 注入 、 跨 站 攻击 还 是 最 终 利用 Webshell 控制 网 站 等 ,都 会 在 Web 中 留 下 日 
志 信 息 , 所 以 分 析 Web 日 志 是 发 现 黑客 人 侵 IP 最 准确 和 快捷 的 方法 。 在 侦办 非法 侵入 计 
算 机 信息 系统 案件 时 ,可 以 通过 分 析 Web 日 志 并 结合 其 他 一 些 情况 来 跟踪 攻击 者 ,还 原 攻 
击 过 程 。 在 对 Web 日 志 进 行 分 析 时 ,主要 从 两 个 角度 : 一 种 是 以 攻击 、 入 侵 的 时 间 为 基点 ， 
在 日 志 中 查找 这 个 时 间 基 点 前 后 一 段 时 间 内 可 疑 的 动作 ,对 这 些 数据 进行 筛选 ; 另 一 种 是 
通过 入 侵 的 行为 , 反 向 在 日 志 中 进行 查找 ,确定 入 侵 动 作 的 时 间 ,确定 上 传 的 木马 后 门 ,随后 
围绕 该 后 门 文件 展开 侦查 。 

3) 分 析 网 站 自身 的 数据 库 内 容 

在 一 些 入 侵 渗透 活动 中 ,黑客 想 要 利用 网 络 漏洞 对 网 站 实施 破坏 ,必须 先 要 在 该 网 站 注 
册 一 个 账号 并 登录 后 才能 实施 ,例如 某 著名 论坛 程序 的 多 个 跨 站 漏洞 ,就 需要 先 注册 一 个 用 
户 , 然 后 登录 后 进行 特殊 的 发 帖 操 作 后 才能 实施 ,那么 在 该 网 站 的 数据 库 中 就 会 留 下 黑客 注 
册 的 用 户 名 和 卫 地 址 时间 等 相关 线索 ,所 以 在 勘 验 中 ,将 网 站 自身 的 数据 库 作为 勘 验 对 象 
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图 9.4 使 用 Windows 自 带 日 志 查 看 器 查看 安全 性 日 志 


也 是 不 容 忽 视 的 ,尤其 是 在 一 些 不 记录 Web 日 志 或 者 日 志 被 清除 的 案件 中 。 

2. 被 非法 侵入 服务 器 的 远程 勘 验 

被 非法 侵入 的 计算 机 信息 系统 或 者 中 间 服 务 器 跳板 可 能 在 外 地 ,甚至 在 境外 ,对 于 这 种 
计算 机 信息 系统 取证 需要 利用 远程 勘 验 提取 固定 相关 电子 数据 。 远 程 勘 验 是 指 通过 网 络 对 
远程 目标 系统 实施 勘 验 ,以 提取 、 固 定 远 程 目标 系统 的 状态 和 留存 的 电子 数据 了 D。 远 程 勘 验 
所 提取 、 固 定 的 数据 应 当 计 算 其 完整 性 校 验 值 ,远程 勘 验 过 程 应 当 录 像 , 当 远程 勘 验 过 程 较 
长 时 应 当 对 关键 环节 进行 录像 。 远 程 勘 验 发 现 关键 线索 的 方法 与 本 地 勘 验 相似 。 

3. 嫌疑 人 使 用 计算 机 的 基本 勘 验 

嫌疑 人 使 用 的 计算 机 作为 人 侵 的 另 一 个 节点 ,需要 重点 关注 其 中 的 入侵 工具 ` 人 侵 痕 
迹 。 嫌 疑 人 计算 机 设备 一 般 保存 有 大 量 的 入侵 工具 ,这 些 入 侵 工 具 可 能 会 有 日 志和 默认 配 
置 留 存 。 同 时 嫌疑 人 为 了 入 侵 , 往 往 会 对 目标 进行 踩点 ,这 些 会 保存 在 浏览 记录 中 。 待 嫌疑 
人 到 案 后 可 以 对 其 使 用 的 计算 机 进行 勘 验 ,如 果 嫌 疑 人 删除 数据 ,可 以 进行 数据 恢复 。 


外 公安 部 (计算 机 犯罪 现场 勘 验 与 电子 证 据 检查 规则 》。 
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9.6.7 侦查 终结 


非法 侵入 计算 机 信息 系统 的 犯罪 活动 ,往往 还 伴随 着 非法 获取 计算 机 信息 系统 数据 或 
者 非法 控制 计算 机 信息 系统 等 行为 。 这 种 情况 应 当 分 清 主 次 ,判断 各 种 行为 的 严重 程度 。 
非法 侵入 计算 机 信息 系统 案件 的 所 有 重点 都 是 关注 非法 侵入 的 对 象 和 行为 。 在 人 证 ,书证 、 
物证 .电子 数据 都 形成 证 据 链 后 ,就 可 以 将 嫌疑 人 和 证 物 移交 给 人 民 检 察 院 进行 审查 公诉 。 


9.7 非法 侵入 计算 机 信息 系统 案件 的 证 据 要 点 


于 非法 侵入 计算 机 信息 系统 的 技术 性 和 复杂 性 ,对 于 证 据 的 要 求 非常 高 。 电 子 数据 
的 完整 性 往往 决定 了 整个 案件 是 否 能 顺利 侦破 和 打击 效果 。 非 法 侵入 计算 机 信息 系统 的 证 
据 要 点 主要 有 以 下 几 个 方面 。 


9.7.1 案件 的 性 质 确定 


“国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ”的 性 质 判 定 ,应 当 委托 省 
级 以 上 负责 计算 机 信息 系统 安全 保护 管理 工作 的 部 门 检验 。 目 前 ,各 地 公安 机 关 在 侦查 非 
法 侵入 计算 机 信息 系统 案件 中 ,对 于 检验 还 缺乏 统一 的 认识 ,认定 的 程序 ,标准 不 一 ,甚至 由 
于 案件 性 质 无 法 确定 ,影响 案件 立案 和 侦查 。 地 方 公 检 法 部 门 对 有 关 条 款 的 认识 也 不 完全 
统一 ,检验 的 效果 不 能 令 人 满意 。 因 此 ,对 于 非法 侵入 计算 机 信息 系统 案件 ,除了 侦查 机 关 
要 充分 了 解 相关 法 律 规 定 和 恰当 运用 侦查 策略 之 外 ,还 要 积极 提交 有 关 部 门 进行 认定 ,同时 
加 强 与 检 法 部 门 的 沟通 ,才能 顺利 推进 案件 侦办 进程 。 


9.7.2 侦查 人 员 树 立 证 据 意 识 


电子 数据 证 据 作 为 非法 侵入 计算 机 信息 系统 的 核心 证 据 , 具 有 其 他 证 据 不 可 替代 的 作 
用 。 侦 查 人 员 往 往 受 知识 所 限 ,将 注意 力 放 在 书证 、 物 证 等 传统 证 据 上 ,对 于 电子 数据 重视 
不 足 。 在 实际 工作 中 ,认为 证 据 的 固定 只 是 勘 验 人 员 的 职责 的 思维 是 非常 危险 的 。 这 样 做 
的 后 果 是 ,没有 详细 完整 的 预案 ,电子 数据 往往 会 灭失 ; 而 电子 数据 灭失 后 ,案件 侦破 的 难 
度 会 大 大 增加 。 


9.7.3 国定 整个 入 侵 活 动 的 完整 证 据 


侦查 人 员 对 于 电子 数据 ,要 参考 (刑法 ) 对 于 非法 侵入 计算 机 信息 系统 的 规定 ,围绕 罪刑 
法 定 的 原则 来 进行 获取 ,重点 是 入 侵 行 为 所 产生 并 留存 的 电子 数据 ,电子 数据 要 形成 证 明 入 
侵 行为 及 过 程 的 证 据 链 。 网 站 服务 器 上 的 证 据 和 嫌疑 人 计算 机 上 的 证 据 是 整个 入侵 活动 的 
两 端 重要 节点 ,但 并 不 意味 着 其 中 间 过 程 的 证 据 就 可 以 忽视 ,因为 这 些 都 是 证 据 链 上 的 完整 
一 环 。 对 于 非法 侵入 计算 机 信息 系统 ,嫌疑 人 往往 利用 多 台 服 务 器 或 者 代理 隐藏 踪迹 ,如 果 
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不 对 这 些 证 据 进 行 固定 ,整个 人 侵 活动 就 无 法 形成 完整 的 证 据 链 , 证 据 也 就 很 难 指向 嫌疑 
人 ,因此 要 固定 入 侵 环节 上 的 所 有 证 据 。 在 非法 侵入 计算 机 信息 系统 案件 中 ,重点 要 固定 目 
标 系统 被 非法 侵入 的 证 据 , 如 在 未 许可 .未 授权 情况 下 进入 系统 的 行为 ,非法 控制 的 行为 ; 
要 固定 嫌疑 人 网 络 行为 特征 类 证 据 ,如 攻击 IP 地址、 时间、 端口 密码; 要 分 析 鉴 定 控制 木 
马 ,固定 远程 控制 服务 器 木马 上 线 行为 ; 要 固定 嫌疑 人 使 用 计算 机 攻击 行为 .管理 远程 控制 
服务 器 行为 。 同 时 要 注意 是 否 有 其 他 违法 犯罪 行为 ,例如 非法 控制 计算 机 信息 系统 、 非 法 获 
取 计 算 机 信息 系统 数据 等 。 


9.8 非法 侵入 计算 机 信息 系统 案例 剖析 
9.8.1 案例 一 
2010 年 3 月 至 5 月 间 , 范 某 某 中 伙同 文 某 通 过 黑客 技术 侵入 某国 家 机 关 
网 站 (服务 器 地 点 位 于 北京 市 朝阳 区 酒仙 桥 ) 后台, 修改 网 页 源 代码 (在 网 站 


源 文件 上 植 入 “ 黑 链 代码 ”), 对 网 站 主页 进行 修改 ,以 提高 其 他 网 站 在 搜索 引 
案例 擎 的 排名 ,从 而 达到 非法 获 利 的 目的 。 


该 国家 机 关 网 站 属于 《刑法 ) 第 二 百 八 十 五 条 中 “国家 事务 的 计算 机 信息 系统 ”, 故 二 人 
入 侵 该 网 站 的 行为 构成 非法 侵入 计算 机 信息 系统 罪 。 

北京 公安 机 关 接 到 报案 后 ,对 该 国家 机 关 网 站 进行 了 勘 验 ,获取 了 人 和 人 侵 的 重要 线索 ,并 
根据 侦查 结果 抓获 了 范 某 某 和 文 某 。 

北京 市 朝阳 区 人 民 检 察 院 以 犯罪 嫌疑 人 范 某 某 、 文 某 犯 非法 侵入 计算 机 信息 系统 罪 非 
法 控制 计算 机 信息 系统 罪 , 于 2010 年 12 月 13 日 向 朝阳 法 院 提起 公诉 。 

朝阳 法 院 经 审理 后 认为 , 范 某 某 \ 文 某 法 制 观念 淡薄 , 为 谋取 私利 ,违反 国家 规定 ,侵入 
家 事务 领域 的 计算 机 信息 系统 ,情节 严重 ,二 被 告 人 的 行为 均 已 构成 非法 侵入 计算 机 信息 
系统 罪 。 范 某 某 起 意 并 组 织 实施 犯罪 , 系 主犯 ; 文 某 在 范 某 某 的 安排 下 实施 犯罪 行为 , 系 从 
犯 。 朝 阳 法 院 于 2011 年 2 月 18 日 做 出 判决 : 范 某 某 犯 非法 侵入 计算 机 信息 系统 罪 ,判处 
有 期 徒刑 九 个 月 ; 文 某 犯 非法 侵入 计算 机 信息 系统 罪 , 判 处 有 期 徒刑 六 个 月 。 


D http://cyqfy. chinacourt org/public/detail. php?id 一 2199 
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9.8.2 案例 二 


2013 年 9 月 以 来 , 黄 某 卫 以 VPN 拨号 的 方式 ,非法 侵入 某 省 政务 内 网 ， 
租用 服务 器 ,通过 “我 的 扫描 器 3389”“3389 爆破 工具 ”等 黑客 攻击 软件 ,扫描 
并 侵入 开启 3389 端口 的 某 县 政府 、 某 市 政府 、 某 市 卫生 局 、 某 市 公共 服务 中 心 
等 处 的 三 十 台 政府 服务 器 ,通过 VIP1433…“ 缠 绵 VIP1433? 等 工具 扫描 出 上 述 
服务 器 下 有 1433 漏洞 的 主机 ,并 对 相应 服务 器 及 主机 植 入 大 量 恶意 程序 。 


该 省 公安 机 关 网 络 安全 保卫 部 门 通过 网 上 巡查 ,发 现 这 些 网 站 被 人 侵 , 遂 立案 侦查 ,于 
2014 年 2 月 抓获 犯罪 嫌疑 人 黄 某 。 公 诉 机 关 认 为 ,被 告 人 黄 某 违反 国家 规定 ,非法 侵入 政 
务 内 网 信息 系统 ,其 行为 已 触犯 (< 中华 人民 共和 国 刑法 ) 第 二 百 八 十 五 条 第 一 款 的 规定 ,提请 
法 院 以 非法 侵入 计算 机 信息 系统 罪 追 究 被 告 人 刑事 责任 。 

证 明 上 述 事实 的 证 据 有 : 户籍 信息 、 抓 获 经 过 、 前 科 材 料 、 扣 押 清 单 ; 证 人 冯 某 、 胡 某 
甲 . 徐 某 、 胡 某 乙 等 人 的 证 言 ; 被 告 人 黄 某 的 供述 与 辩解 ; 搜查 笔录 、 电 子 物证 检查 笔录 、 远 
程 勤 验 笔 录 。 本 案 事实 清楚 ,证据 确实 ` 充 分 ,足以 认定 犯罪 事实 。 

法 院 认为 ,被 告 人 黄 某 违反 国家 规定 ,非法 侵入 某 省 政务 内 网 信息 系统 ,其 行为 已 触犯 
刑律 ,构成 非法 侵入 计算 机 信息 系统 罪 。 公 诉 机 关 指 控 的 罪名 成 立 。 被 告 人 黄 某 犯 非法 侵 
入 计算 机 信息 系统 罪 ,判处 拘役 四 个 月 ,缓刑 八 个 月 。 


9.9 本 章 小 结 


非法 侵入 计算 机 信息 系统 是 典型 的 网 络 犯罪 行为 ,也 是 其 他 网 络 犯罪 的 源头 。 由 于 其 
有 具有 高 度 的 技术 性 ,隐蔽 性 ,对 其 打击 一 直 是 执法 部 门 的 难点 和 重点 。 打 击 非法 侵入 计算 机 
信息 系统 犯罪 需要 执法 部 门 具有 良好 的 侦查 意识 和 证 据 意 识 , 同 时 利用 侦查 取证 技术 ,通过 
梳理 人 侵 轨迹 和 固定 入侵 证 据 , 完 整 有 序 地 向 人 侵 源 头 推进 。 这 样 才能 打击 和 过 制 非法 侵 
入 计算 机 信息 系统 案件 的 高 发 态势 。 


中 ”http://openlaw. cn/judgement/eb73957e82a4489ab7{580723834cla8 
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1. 简 述 非法 侵入 计算 信息 系统 的 概念 。 

2. 简 述 非法 侵入 计算 信息 系统 的 特点 。 

3. 非法 侵入 计算 信息 系统 案件 的 法 律 规定 有 哪些 ? 
4 

5 


. 简 述 非法 侵入 计算 信息 系统 案件 入 侵 现 场 的 侦查 流程 。 
. 简 述 非法 侵入 计算 信息 系统 案件 的 证 据 要 点 。 


非法 获取 计算 机 信息 系统 数据 、 
控制 计算 机 信息 系统 案件 侦查 


本 章 学 习 目 标 

。 非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 系统 的 概念 

。 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 案件 的 犯罪 构成 

。 非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 系统 罪 的 类 型 

。 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 案件 的 法 律 约束 

。 非法 获取 计算 机 信息 系统 数据 、 控 制 计 算 机 信息 系统 罪 的 侦查 要 点 

。 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 案件 侦办 的 证 据 要 点 
。 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 案例 剖析 


通过 入 侵 , 非 法 控制 计算 机 信息 系统 ,非法 获取 计算 机 信息 系统 数据 , 件 取 巨 额 利 润 已 
经 产生 严重 的 社会 危害 ,进而 逐步 形成 由 制作 .销售 黑客 工具 , 倒 买 倒卖 非法 控制 的 计算 机 
信息 系统 的 数据 和 控制 权 等 各 个 环节 构成 的 利益 链条 。 可 以 说 ,非法 获取 计算 机 信息 系统 
数据 、 控 制 计算 机 信息 系统 是 整个 危害 计算 机 信息 系统 犯罪 的 准备 阶段 甚至 是 源头 ,打击 和 
过 制 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 犯罪 是 打击 、 摧 毁 黑色 网 络 犯罪 产 
业 链 的 关键 所 在 。 


10.1 非法 获取 计算 机 信息 系统 数据 、 控 制 计 算 机 信息 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 是 指 “ 侵 入 国家 事务 、 国 防 建设 、 尖 
端 科学 技术 领域 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计算 机 信息 系统 中 
存储 、 处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 严重 的 行为 ”。 

与 非法 侵入 计算 机 信息 系统 罪 相 比 ,这 种 行为 仍然 需要 利用 入 侵 手段 ,只 不 过 因为 其 客 
体 和 客观 方面 有 所 不 同 ,因此 形成 两 个 罪名 是 符合 实际 需要 的 。 网 上 俗称 的 入 侵 网 站 、 拖 
库 、 销 售 webshell\ 伪 性 网 络 等 均 属于 此 类 犯罪 。 随 着 互联 网 Web ri 上 的 
网 站 数量 不 断 增长 , 随 之 而 来 的 是 严峻 的 网 络 安全 问题 ,加 之 黑客 教学 组 织 泛滥 ,使 得 此 类 
违法 犯罪 门槛 大 幅 降低 ,案件 数量 剧 增 。 
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10.2 非法 获取 计算 机 信息 系统 数据 、 控 制 计 算 机 信息 
系统 的 犯罪 构成 


非法 获取 计算 机 信息 系统 数据 控制 计算 机 信息 系统 罪 在 (刑法 》 上 是 一 条 罪名 ,二 者 在 
犯罪 主体 .犯罪 客体 .犯罪 客观 要 件 和 犯罪 主观 要 件 是 相同 的 。 


10.2.1 犯罪 主体 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 罪 的 主体 , 指 达到 法 定 责任 年 龄 ， 
具有 刑事 责任 能 力 , 实 施 非法 控制 特定 的 计算 机 信息 系统 罪行 为 的 人 。 

根据 (刑法 修正 案 ( 九 )》 规 定 , 单 位 也 成 为 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信 
息 系统 罪 的 主体 ,这 是 符合 打击 网 络 黑色 产业 链 实际 需要 的 。 


10.2.2 犯罪 客体 


不 同 于 非法 侵入 计算 机 信息 系统 ,非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 
犯罪 侵害 的 对 象 是 (刑法 ) 第 二 百 八 十 五 条 第 一 款 规 定 的 国家 事务 、 国 防 建设 .尖端 科 学 技术 
领域 之 外 的 计算 机 信息 系统 ,包括 使 用 中 的 计算 机 信息 系统 中 存储 处理, 传输 的 数据 。 

根据 (刑法 ) 第 二 百 八 十 六 条 规定 ,此 类 案件 主要 分 为 两 种 情况 。 

1. 非法 获取 计算 机 信息 系统 数据 

非法 获取 计算 机 信息 系统 数据 是 指 违反 国家 规定 ,侵入 国家 事务 、 国 防 建设 .尖端 科学 
技术 领域 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计算 机 信息 系统 中 存储 、 处 
理 或 者 传输 的 数据 ,情节 严重 的 行为 。 

2. 非法 控制 计算 机 信息 系统 
非法 控制 计算 机 信息 系统 罪 是 指 对 国家 事务 .国防 建设 .尖端 科学 技术 领域 以 外 的 计算 
机 信息 系统 实施 非法 控制 ,情节 严重 的 行为 。 

非法 获取 计算 机 信息 系统 数据 是 针对 普通 计算 机 信息 系统 中 存储 、 处 理 或 传输 的 数据 ， 
并 不 涉及 计算 机 信息 系统 功能 和 实际 运行 ,而 非法 控制 计算 机 信息 系统 是 针对 普通 计算 机 
信息 系统 本 身 , 对 计算 机 系统 功能 和 运行 进行 了 非法 控制 ; 二 者 的 犯罪 客体 均 是 除 国家 重 
要 领域 计算 机 信息 系统 以 外 的 计算 机 信息 系统 的 安全 和 管理 秩序 。 此 处 所 指 安全 是 指 信息 
系统 的 完整 性 和 保密 性 。 


10.2.3 犯罪 的 主观 要 件 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 罪 的 主观 方面 均 是 故意 ,过 失 不 构 
成 本 罪 。 即 行为 人 为 了 获得 计算 机 系统 的 控制 权 , 采 取 入 侵 手 段 并 非法 控制 .获取 数据 , 希 
望 达到 预想 的 后 果 。 
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10.2.4 犯罪 的 客观 要 件 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 的 客观 方面 ,是 指 依据 (刑法 ?第 九 
十 六 条 “违反 全 国人 民 代表 大 会 及 其 常务 委员 会 制定 的 法 律 和 决定 ,国务 院 制定 的 行政 法 
规 、 规 定 的 行政 措施 发 布 的 决定 和 命令 ”, 违 反 国家 的 一 系列 计算 机 信息 系统 管理 的 相关 法 
律 法 规 ,实施 侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 以 外 的 普通 计算 机 信息 系统 ,或 者 
采用 其 他 技术 手段 ,获取 这 些 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 ,或 者 对 这 些 计 
算 机 信息 系统 实施 非法 控制 的 行为 ,并 且 情 节 严 重 。 

1. 非法 获取 计算 机 信息 系统 数据 

所 谓 * 非 法 获取 ”, 是 指 未 经 权利 人 或 者 国家 有 权 机 构 授 权 而 取得 他 人 的 数据 的 行为 。 
所 谓 * 侵 入 ”, 是 指 未 经 权利 人 或 者 国家 有 权 机 构 授权 或 批准 ,行为 人 采用 破解 密码 、 资 取 密 
码 \ 强 行 突破 计算 机 系统 安全 防护 工具 或 措施 、 利 用 他 人 网 上 认证 信息 等 方法 ,通过 计算 机 
网 络 终端 进入 国家 事务 .国防 建设 ,尖端 科学 技术 领域 以 外 的 普通 计算 机 信息 系统 。 所 谓 
“获取 数据 ,是 指 通 过 秘密 复制 方式 得 到 他 人 计算 机 信息 系统 中 存储 的 、 正 在 运行 的 或 传输 
的 数据 。 对 他 人 计算 机 中 的 数据 进行 增加 、 删 除 .修改 等 破坏 行为 并 造成 后 果 的 ,不 属于 本 
罪 调整 范围 。 

2. 非法 控制 计算 机 信息 系统 

所 谓 * 控 制 ”, 是 指 行为 人 利用 技术 手段 或 者 其 他 手段 非法 获取 他 人 或 机 构 的 计算 机 信 
息 系统 的 操作 权限 的 行为 。 非 法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 罪 为 情节 
犯 。 要 构成 本 罪 , 须 有 情节 严重 。 具 有 下 列 情形 之 一 的 ,应 当 认定 为 (刑法 ) 第 二 百 八 十 五 条 
第 二 款 规定 的 “情节 严重 ”: 获取 支付 结算 、 证 券 交易 ,期货 交 易 等 网 络 金融 服务 的 身份 认证 
信息 十 组 以 上 的 ; 获取 上 一 项 以 外 的 身份 认证 信息 五 百 组 以 上 的 ; 非法 控制 计算 机 信息 系 
统 二 十 台 以 上 的 ; 非法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 其 他 情节 严重 的 
情形 。 以 上 情节 只 需 满 足 其 中 一 条 即 可 认定 为 情节 严重 ,单条 数量 不 够 ,同时 触犯 多 条 的 ， 
数量 不 累加 。 相 关 情 节 数 量 达 五 倍 以 上 的 ,认定 为 情节 特别 严重 。 


10.3 非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 
系统 的 类 型 
非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 系统 的 目的 是 为 了 获取 信息 系统 的 控 
制 权 , 进 一 步 获取 数据 ,放置 木马 等 进行 长 期 控制 ,可 以 有 以 下 几 种 类 型 。 
10.3.1 内 部 控制 


单位 或 者 公司 的 内 部 员工 ,出 于 谋取 私利 的 心理 ,往往 会 利用 对 于 信息 系统 的 控制 权 ， 
采取 隐匿 和 算 改 的 方式 ,来 获得 系统 内 数据 以 牟取 非法 利益 。 例 如 系统 的 管理 员 ,会 利用 系 
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统 的 权限 ,获取 单位 商业 秘密 数据 ,进行 出 售 件 利 。 
10.3.2 拖 库 


在 侵入 计算 机 信息 系统 后 ,往往 需要 获取 系统 内 有 价值 的 信息 资源 ,例如 保存 公民 个 人 
隐私 的 数据 库 会 被 传输 到 黑客 的 设备 上 ,俗称 “ 拖 库 ”。 数 据 库 信 息 是 具有 高 价值 的 数据 ,不 
法 人 员 可 以 利用 公民 隐私 信息 进行 诈骗 和 盗窃 等 活动 。 


10.3.3 放置 木马 


在 侵入 计算 机 信息 系统 后 ,为 了 能 够 长 期 控制 ,使 之 变 成 “肉鸡 ”, 行 为 人 往往 使 用 放置 
木马 的 方式 留 有 后 门 ,随时 可 以 使 用 。 在 安全 防护 脆弱 的 计算 机 设备 上 ,往往 留 有 多 个 后 
门 ,这 些 后 门 由 不 同 的 黑客 所 放置 ,实现 不 同 的 功能 。 例 如 建立 诈骗 网 站 等 。 


10.4 ”非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 
与 非法 侵入 计算 机 信息 系统 犯罪 的 联系 和 区 别 


根据 (中 华人 民 共 和 国 刑法 》 的 定义 ,非法 侵入 计算 机 信息 系统 与 非法 获取 计算 机 信息 
系统 数据 \ 控 制 计算 机 信息 系统 是 两 种 不 同 的 罪名 。 非 法 侵入 计算 机 信息 系统 和 非法 获取 
计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 罪 是 以 犯罪 的 手段 和 对 象 为 标准 ,不 是 以 犯罪 的 
手段 为 标准 而 划分 的 犯罪 类 型 。 二 者 使 用 的 技术 相似 ,但 是 本 质 有 所 不 同 。 


10.4.1 二 者 的 联系 


1. 采取 的 手段 相似 

非法 侵入 计算 机 信息 系统 和 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 犯罪 
在 人 侵 过 程 中 的 手段 是 类 似 的 ,在 技术 上 并 没有 类 别 和 难度 上 的 本 质 区 别 ,都 是 利用 网 络 渗 
透 知 识 , 采 取 突 破 网 站 防御 措施 获取 网 站 控制 权 等 方式 侵入 计算 机 信息 系统 ,实施 控制 。 

2. 犯罪 主体 相同 

二 者 犯罪 主体 都 是 达到 法 定 责任 年 龄 ,具有 刑事 责任 能 力 的 一 般 主体 或 单位 ,两 项 罪名 
的 主体 都 具有 相当 高 的 计算 机 专业 知识 和 娴熟 的 计算 机 操作 技能 .有 的 是 计算 机 程序 设计 
人 员 , 有 的 是 计算 机 管理 、 操 作 、 维 护 人 员 。 

3. 犯罪 动机 相同 

行为 人 在 实施 人 侵 计算 机 信息 系统 行为 时 ,并 不 一 定 清楚 其 所 要 和 人 侵 的 系统 是 否 涉及 
国家 事务 的 信息 系统 ,犯罪 动机 与 人 侵 普通 的 计算 机 信息 系统 的 动机 相同 ,都 是 为 了 件 利 ， 
甚至 销赃 过 程 中 涉及 国家 事务 的 计算 机 信息 系统 的 控制 权 的 价值 不 一 定 比 普通 的 计算 机 信 
息 系统 价值 高 .所 以 就 犯罪 动机 而 言 .二 者 是 相关 联 的 ,如 行为 人 既 入 侵 涉及 国家 事务 相关 
的 计算 机 信息 系统 ,同时 也 入 侵 了 二 十 台 以 上 的 普通 计算 机 信息 系统 ,那么 虽然 他 的 犯罪 动 
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机 相同 ,但 他 同时 触犯 了 非法 侵入 计算 机 信息 系统 和 非法 获取 计算 机 信息 系统 数据 控制 计 
算 机 信息 系统 两 项 罪名 。 


10.4.2 二 者 的 区 别 


1. 犯罪 客体 不 同 

非法 侵 人 计算 机 信息 系统 的 行为 对 象 ,限于 国家 事务 、 国 防 建设 、 尖 端 科学 技术 领域 的 
计算 机 系统 。 而 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 的 行为 对 象 ,是 除了 上 
述 对 象 外 的 其 他 计算 机 信息 系统 ,这 是 对 犯罪 对 象 的 极 大 扩展 。 也 就 是 说 ,非法 侵入 计算 机 
信息 系统 罪 的 犯罪 客体 是 国家 重要 领域 和 要 害 部 门 的 计算 机 信息 系统 安全 ; 而 非法 获取 计 
算 机 信息 系统 数据 、 控 制 计 算 机 信息 系统 罪 侵 害 的 客体 是 除 此 之 外 的 普通 计算 机 信息 系统 
安全 。 这 是 二 者 最 大 的 区 别 。 

2. 犯罪 客观 要 件 不 同 

非法 侵入 计算 机 信息 系统 罪 是 行为 犯 ,只 要 行为 人 违反 国家 规定 ,故意 实施 了 侵入 国家 
事务 .国防 建设 .尖端 科学 技术 领域 计算 机 信息 系统 的 行为 ,就 构成 犯罪 ,而 不 管 对 这 些 系 统 
造成 了 什么 后 果 、 采 用 什么 手段 ,也 没有 侵入 数量 上 的 限制 。 

非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 罪 是 结果 犯 ,要 构成 该 罪 , 须 具有 
情节 严重 。“ 情 节 严 重 ” 是 指 多 次 、 大 量 获取 他 人 计算 机 数据 的 行为 。 即 为 获取 数据 数量 多 、 
对 比较 多 的 计算 机 信息 系统 实施 了 非法 获取 行为 、 犯 罪行 为 加 重 了 计算 机 信息 系统 的 工作 
负担 、 犯 罪行 为 人 获取 的 计算 机 信息 系统 数据 有 很 重要 意义 、 犯 罪行 为 人 取得 了 较 大 利益 

3， 量刑 标准 不 同 

非法 侵入 计算 机 信息 系统 罪 仅 有 一 个 量刑 层次 , 即 三 年 以 下 。 而 非法 获取 计算 机 信息 
系统 数据 ,控制 计算 机 信息 系统 罪 依据 情节 严重 程度 的 不 同 有 两 个 量刑 层次 ,情节 严重 处 三 
年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 , 当 获取 的 数据 数量 .控制 的 计算 机 信息 系统 
数量 .牟利 等 的 数量 达到 前 者 五 倍 以 上 的 ,符合 情节 特别 严重 量刑 层次 ,处 三 年 以 上 七 年 以 
下 有 期 徒刑 ,并 处 罚金 。 


10.5 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 
案件 的 法 律 约束 
10.5.1 《刑法 》 


《刑法 ?第 二 百 八 十 五 条 规定 :“ 违 反 国家 规定 ,侵入 规定 为 国家 事务 、 国 防 建设 .尖端 科 
学 技术 领域 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计算 机 信息 系统 中 存储 、 
处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 严重 的 ,处 三 年 以 下 有 
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期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 
处 罚金 。” 


10.5.2 最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计算 机 信息 系统 
安全 刑事 案件 应 用 法 律 阁 干 问题 的 解释 (法 释 [2011119 号 ) 


法 释 [2011]19 号 第 一 条 对 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 “情节 
严重 “情节 特别 严重 "的 具体 情形 作 了 规定 : 

非法 获取 计算 机 信息 系统 数据 或 者 非法 控制 计算 机 信息 系统 ,具有 下 列 情形 之 一 的 ,应 
当 认 定 为 (刑法 ) 第 二 百 八 十 五 条 第 二 款 规 定 的 “情节 严重 ”: 

(一 ) 获取 支付 结算 .证券 交 易 ,期货 交易 等 网 络 金融 服务 的 身份 认证 信息 十 组 以 上 的 ; 

(二 ) 获取 第 (一 ) 项 以 外 的 身份 认证 信息 五 百 组 以 上 的 ; 

(三 ) 非法 控制 计算 机 信息 系统 二 十 台 以 上 的 ; 

(四 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(五 ) 其 他 情节 严重 的 情形 。 

实施 前 款 规定 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 (刑法 ) 第 二 百 八 十 五 条 第 二 款 规 
定 的 “情节 特别 严重 ”: 

(一 ) 数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (四 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 其 他 情节 特别 严重 的 情形 。 

明知 是 他 人 非法 控制 的 计算 机 信息 系统 ,而 对 该 计算 机 信息 系统 的 控制 权 加 以 利用 的 ， 
依照 前 两 款 的 规定 定罪 处 罚 。 

同时 ,第 七 条 中 “明知 是 非法 获取 计算 机 信息 系统 数据 犯罪 所 获取 的 数据 、 非 法 控制 计 
算 机 信息 系统 犯罪 所 获取 的 计算 机 信息 系统 控制 权 , 而 予以 转移 收购 、 代 为 销售 或 者 以 其 
他 方法 掩饰 .隐瞒 ,违法 所 得 五 千 元 以 上 的 ,应 当 依照 刑法 第 三 百 一 十 二 条 第 一 款 的 规定 ,以 
掩饰 、 隐 螨 犯罪 所 得 罪 定罪 人 处罚。”“ 实 施 前 款 规定 行为 ,违法 所 得 五 万 元 以 上 的 ,应 当 认 定 为 
刑法 第 三 百 一 十 二 条 第 一 款 规定 的 情节 严重 *”。 这 就 为 打击 网 络 黑 产 提供 了 依据 。 


10.6 非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 系统 
案件 的 侦查 要 点 


很 多 危害 计算 机 信息 系统 的 案件 类 型 可 能 涉及 多 个 罪名 ,比如 通过 控制 大 量 “ 肉 鸡 ” 实 
施 DDoS 攻击 案件 .行为 人 就 有 可 能 既 符 合 破坏 计算 机 信息 系统 罪 , 也 符合 非法 控制 计算 机 
信息 系统 罪 的 特征 。 在 案件 侦办 过 程 中 ,尤其 是 案件 侦办 前 期 其 工作 方法 和 思路 有 相同 之 
处 ,但 后 期 的 取证 要 点 又 有 所 差别 。 实 战 中 要 根据 行为 人 的 犯罪 动机 、 犯 罪 的 客体 、 情 节 等 
方面 具体 对 待 。 
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10.6.1 案件 管辖 


依据 (关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 》, 非 法 获取 计算 机 信 
息 系统 数据 、 控 制 计算 机 信息 系统 犯罪 案件 的 管辖 可 以 是 实施 非法 获取 数据 的 、 或 者 实施 非 
法 控制 的 犯罪 嫌疑 人 所 在 地 公安 机 关 受 理 , 也 可 以 是 数据 泄露 的 或 者 被 控制 的 被 害 人 等 所 
在 地 公安 机 关 受 理 。 


10.6.2 立案 审查 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 的 立案 审查 , 主要 围绕 非法 获取 、 
控制 的 行为 和 后 果 。 只 要 对 计算 机 信息 系统 进行 了 入 侵 , 并 实施 了 控制 行为 或 获取 系统 数 
据 , 就 可 以 立案 审查 。 根 据 入 侵 对 象 的 性 质 是 否 涉及 国家 事务 等 的 计算 机 信息 系统 来 确定 
所 立案 件 类 型 。 


10.6.3 侦查 措施 和 流程 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 具有 高 度 的 隐蔽 性 ,犯罪 嫌疑 人 会 
采取 各 种 手段 不 让 被 害 人 发 现 系统 已 经 被 控制 ,或 者 数据 被 获取 并 用 于 非法 目的 。 非 法 获 
取 数 据 , 非 法 控制 的 行为 往往 是 系统 功能 受到 影响 和 破坏 时 才 有 可 能 被 发 现 。 由 于 被 非法 
控制 的 系统 犯罪 嫌疑 人 会 长 期 经 营 ,因此 会 保存 有 大 量 的 数据 。 

侦查 要 把 握 “ 数 据 流 " 和 “利益 流 ”。“ 数 据 流 " 和 “利益 流 ” 的 最 终 溯源 结果 应 归结 到 行为 
人 的 虚拟 身份 乃至 真实 身份 和 犯罪 地 点 ,为 最 终 破案 奠定 基础 。 例 如 ,针对 被 侵害 的 计算 机 
设备 进行 检查 ,查找 木马 与 服务 器 之 间 的 通信 联系 ,提取 入 侵 的 线索 。 同 时 针对 被 获取 的 数 
据 会 在 网 络 上 销赃 这 一 特点 ,关注 “利益 流 ”, 犯 罪 嫌疑 人 在 网 络 上 公开 出 售 数据 和 控制 权 ， 
不 可 避免 地 会 留 下 蛛丝马迹 。 多 个 侦查 途径 并 举 , 确 保 即使 其 中 一 个 链条 失效 ,还 能 继续 
追溯 。 

1. 现场 勘查 

现场 勘查 是 非法 获取 、 非 法 控制 计算 机 信息 系统 案件 发 现 线索 的 第 一 渠道 ,也 是 最 
为 直接 的 渠道 。 犯 罪 嫌 疑 人 要 实施 盗 取 数据 ,非法 控制 ,就 必须 要 在 被 侵害 的 计算 机 信 
息 系统 中 留 下 痕迹 。 通 过 现场 勘 验 , 可 以 获取 大 量 有 效 的 线索 .所 以 此 类 案件 抓 住 了 现 
场 .就 等 于 成 功 了 一 半 。 从 现场 获取 的 系统 日 志 等 最 为 直接 的 线索 也 是 将 来 呈 堂 的 最 为 
有 力 的 证 据 。 

2. 网 络 运营 商 资料 调 取 

犯罪 嫌疑 人 利用 网 络 实施 和 人 侵 进而 控制 计算 机 信息 系统 ,盗窃 数据 ,就 必然 要 注册 网 络 
链 路 ,所 以 此 类 案件 线索 的 获取 离 不 开 向 网 络 运营 商 调 取 资 料 。 

3. 互联 网 应 用 服务 公司 的 资料 调 取 

犯罪 嫌疑 人 在 实施 犯罪 过 程 中 、 甚 至 是 在 犯罪 准备 阶段 ,不 可 避免 地 要 使 用 邮箱 、 即 时 
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通讯 等 工具 进行 匀 连 ,利用 迅雷 等 软件 下 载 工具 ,利用 网 银 ,支付宝 等 进行 转账 ,利用 数据 库 
连接 工具 进行 “ 拖 库 ”, 利 用 远程 连接 工具 实施 控制 等 等 ,侦查 人 员 可 以 依法 到 相关 互联 网 应 
用 服务 公司 调 取 相关 日 志 资 料 , 尽 最 大 可 能 获取 线索 。 

4. 互联 网 搜索 

违法 犯罪 嫌疑 人 视 非 法 获取 数据 ,非法 控制 的 系统 为 " 金 矿 ”, 硕 望 从 中 得 到 最 大 的 收 
益 。 计 算 机 信息 系统 可 以 作为 “和 肉鸡? 出售. 出租 ,获取 的 数据 可 以 在 黑市 上 售卖 ,这 些 都 会 
成 为 线索 的 来 源 。 例 如 获得 的 数据 可 能 在 网 上 贩卖 ,嫌疑 人 可 能 会 在 互联 网 留 下 大 量 忽 售 
数据 或 控制 权 的 信息 其 至 是 其 联系 方式 。 侦 查 人 员 应 广泛 、 充 分 地 运用 互联 网 搜索 引擎 的 
功能 ,查找 嫌疑 人 可 能 发 布 这 些 信 息 的 网 站 等 ,发 现 蛛丝马迹 。 

5. 串 并 案 

通过 已 发 现 的 案件 线索 进行 串 并 , 扩 线 侦查 。 


10.6.4 排查 和 抓 捕 


网 络 案件 有 其 自身 的 特点 ,在 排查 、. 抓 捕 工 作 上 ,与 普通 刑事 案件 的 最 大 不 同 之 处 在 于 ， 
传统 刑事 案件 通常 先 查 清 嫌 疑 人 身份 ,然后 实施 抓 捕 , 而 在 网 络 案件 侦查 中 ,实施 抓 捕 与 排 
查 犯罪 嫌疑 人 真实 身份 往往 交织 在 一 起 。 在 网 络 案件 排查 、 抓 捕 工 作 中 要 注意 如 下 事项 。 
一 是 计算 机 信息 系统 有 可 能 会 被 多 人 入 侵 控 制 ,其 危害 的 结果 也 不 尽 相 同 , 要 分 清 与 案件 相 
关 的 主要 犯罪 嫌疑 人 ,注意 排除 其 他 入 侵 者 的 影响 ; 二 是 一 台 计算 机 有 可 能 被 多 个 人 使 用 ， 
在 抓 捕 前 期 和 抓 捕 现场 应 反复 核查 ,并 对 计算 机 进行 快速 勘 验 ,找到 在 案 发 时 使 用 该 计算 机 
的 人 员 ; 三 是 注意 核实 犯罪 嫌疑 人 的 入侵 和 控制 行为 ,核实 物理 身份 ,在 抓 捕 时 注意 控制 嫌 
疑 人 的 计算 机 设备 。 


10.6.5 询问 和 讯问 的 要 点 


非法 获取 计算 机 信息 系统 数据 控制 计算 机 信息 系统 由 于 其 “牟利 性 ”, 不 可 避免 地 要 与 
多 人 发 生 联系 。 这 些 人 可 以 作为 询问 对 象 来 获得 嫌疑 人 的 控制 结果 等 ,询问 和 讯问 同样 是 
侦破 此 类 案件 的 关键 ,其 要 点 如 下 : 

1. 询问 受害 人 或 知情 人 要 点 

了 解 受害 人 的 上 网 方式 .经 常 上 网 地 点 `、 上 网 账号 密码 . 接 入 的 运营 商 等 信息 ,询问 网 站 
接 和 人 的 网 络 环境 、 防 护 设 备品 牌 和 人 性能、 管理 员 的 基础 情况 .根据 是 否 有 数据 泄露 情况 判断 
数据 已 被 泄露 的 依据 、 如 何 发 现 系 统 被 入 侵 或 被 控制 、 案 发 时 系统 的 状态 、 有 哪些 异常 现象 、 
系统 和 相关 设备 有 哪些 日 志 记 录 功 能 、 是 否 对 受害 系统 采取 了 措施 、 采 取 了 哪些 措施 、 经 济 
损失 情况 等 。 

2. 讯问 犯罪 嫌疑 人 要 点 

了 解 犯 罪 嫌疑 人 上 网 方式 、 经 常 上 网 地 点 、 上 网 账号 密码 、 接 入 的 运营 商 等 信息 ; 实施 
入 侵 或 控制 的 方法 和 过 程 ,使 用 的 软件 ,是 否 非 法 下 载 了 对 象 的 数据 ,下 载 的 软件 名 称 ; 对 
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哪些 个 人 或 单位 的 计算 机 信息 系统 进行 了 入 侵 或 破坏 、 入 侵 或 破坏 的 方式 ; 是 怎样 件 利 的 ， 
非法 所 得 数量 ,是 否 有 同伙 ,同伙 之 间 分 别 充当 什么 角色 ; 为 其 提供 服务 器 的 网 络 运营 商 、 
电信 运营 商 、 推 广 商 等 第 三 方 是 否 知情 其 从 事 违法 犯罪 活动 ; 各 种 虚拟 身份 和 后 门 、 控 制 软 
件 等 信息 ,重点 是 这 些 软件 的 密码 等 信息 。 


10.6.6 现场 勘查 


对 于 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 ,现场 勘查 的 作用 至 关 重要 。 
通过 现场 勘查 ,可 以 获得 非法 控制 行为 人 入 侵 的 行为 .由 此 产生 的 控制 行为 和 获取 转移 的 动 
作 , 并 可 以 顺 茧 摸 瓜 , 循 线 追 踪 嫌 疑 人 。 勘 查 的 对 象 一 般 为 网 站 服务 器 .个 人 计算 机 、 恶 意 代 
码 三 类 。 

1. 网 站 服务 器 的 基本 勘查 方法 

在 非法 获取 ,非法 控制 计算 机 信息 系统 等 类 型 案件 中 ,涉及 最 多 的 就 是 受害 网 站 服务 器 
的 勘查 ,这 是 发 现 犯 罪 嫌 疑 人 线索 最 为 直接 和 迅速 的 方法 。 

1) 查找 网 站 后 门 

网 页 后 门 是 指 黑 客 利 用 漏洞 获取 到 受害 网 站 的 控制 权 后 ,在 Web 目录 里 留 下 的 具有 对 
该 网 站 文件 进行 增 、 删 、 改 功能 的 网 页 文件 ,俗称 webshell 或 者 网 站 shell, 网 上 有 大 量 的 
webshell 模板 供 下 载 。 最 经 典 的 网 页 后 门 是 “一 名 话 木马 ” 它 由 国内 某 知名 黑客 所 编写 , 因 
留 在 受害 网 站 里 的 后 门 文件 或 嵌入 正常 文件 里 的 代码 只 有 一 句 而 得 名 。 如 php 的 一 句 话 
网 页 后 门 最 经 典 的 写法 为 “二 ? php@eval($_POSTLpwd])? 之 ”, 其 中 pwd 为 该 后 门 的 密 
码 ,俗称 一 句 话 木 马 的 服务 端 。 要 通过 该 一 句 话 木马 对 网 站 实施 控制 ,还 需要 一 个 客户 端 软 
件 , 黑 客 通 常 使 用 的 客户 端 软件 是 被 称 为 中 国 菜刀 的 chopper( 如 图 10. 1 所 示 ) ,通过 它 连 
接 一 句 话 木 马 服务 端 , 即 可 实现 对 网 站 的 控制 。 


c- 127001 T>ADDeAT. 2011-01-07 00:31:50 


ce. 127001 T>ADOIT. 2011.01.07 0031.50 


c. 127001 T>MYSAL</ 2011-01-07 00:31:50 


图 10.1 中 国 菜刀 软件 界面 


对 服务 器 进行 勘查 ,首要 任务 就 是 要 发 现 人 侵 者 控制 网 站 的 方式 ,其 中 一 句 话 木马 是 最 
为 可 能 的 方式 ,其 他 网 页 后 门 要 具备 对 网 站 文件 进行 增 、 删 \ 改 等 的 功能 ,其 代码 必然 也 应 有 
明显 的 特点 ,侦查 人 员 可 以 事先 搜集 或 上 网 下 载 此 类 代码 作为 关键 词 库 。 在 现场 勘 验 时 利 
用 这 些 关键 词 进行 比 对 扫描 ,提高 发 现 网 站 后 门 的 效率 。 
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2) 分 析 Web 日 志 

黑客 在 人 侵 网 站 时 ,不 管 是 对 网 站 进行 扫描 、 上 传 .SQL 注入 、 跨 站 攻击 ,还 是 最 终 利用 
webshell 控制 网 站 等 ,都 会 在 Web 中 留 下 日 志 信 息 , 所 以 分 析 Web 日 志 是 发 现 黑客 人 侵 痕 
迹 和 线索 的 最 准确 .最 快捷 的 方法 。 

3) 分 析 服 务 器 日 志 

在 很 多 案件 中 ,黑客 在 获取 网 站 权限 后 ,进而 通过 提 权 等 方式 获取 到 整个 服务 器 的 管理 
员 权限 ,甚至 会 新 增 管理 员 账 号 ,这样 在 服务 器 的 安全 性 日 志 、 程 序 运 行 日 志 中 就 会 留 下 其 
IP 地 址 和 机 器 名 称 等 记录 。Windows 类 服务 器 可 通过 日 志 查看 器 直接 查看 或 通过 
Windows API 等 命令 行 工具 远程 获取 ; UNIX 类 服务 器 可 直接 查看 系统 日 志 /etc/syslog. 
conf 等 文件 。 根 据 这 些 日 志 结 合 案 发 时 间 、Webshell 文件 等 线索 分 析出 黑客 入 侵 时 的 全 
地 址 、 新 增 的 管理 员 账 号 、 机 器 名 等 信息 。 

4) 分 析 服 务 器 端口 

本 地 操作 系统 会 给 那些 有 需求 的 进程 分 配 协议 端口 。 端 口 与 应 用 程序 相关 ,是 应 用 程 
序 与 外 界 进行 数据 交换 的 窗口 。 上 传 的 木马 后 门 和 开放 新 的 服务 ,都 会 产生 新 的 端口 。 通 
过 检查 端口 可 以 判断 侵入 是 否 上 传 了 木马 和 开放 了 新 的 服务 。 

Windows 系统 在 命令 行 界面 输入 命令 netstat - ano 检测 当前 开放 的 端口 ,会 显示 使 
用 该 端口 程序 PID, 打 开 任 务 管理 器 ,在 “查看 ”菜单 下 选择 “ 列 " 命 令 , 选 中 PID 选项 , 单 击 
“确定 ”按钮 ,然后 根据 开放 端口 使 用 的 PID 在 任务 管理 器 中 查找 使 用 该 端口 的 程序 文件 
名 。 如 果 使 用 该 PID 的 进程 不 是 单独 的 程序 文件 而 是 调用 的 Svchost 或 lsass( 有 很 多 木马 
可 以 通过 这 些 应 用 调用 真正 的 木马 dlD) ,可 以 初步 确定 被 植 和 木马。 

5) 分 析 控 制 木马 

侵入 计算 机 信息 系统 后 ,为 了 达到 长 期 占有 的 目的 ,犯罪 嫌疑 人 可 能 会 植 人 木马 控制 计 
算 机 信息 系统 ,木马 要 驻 留 在 系统 中 就 必须 随 系统 启动 ,动态 分 析 是 查找 木马 必 不 可 少 的 步 
又 ,找到 木马 文件 后 进行 静态 分 析 , 通 过 北向 分 析 获 取 木 马 使 用 者 的 信息 或 者 木马 的 数据 
流向 。 

6) 分 析 网 站 自身 的 数据 库 内 容 

在 一 些 人 侵 渗 透 活动 中 ,黑客 要 想 利 用 网 络 漏洞 对 网 站 实施 破坏 ,必须 先 要 在 该 网 站 注 
册 一 个 账号 并 登录 后 才能 实施 。 例 如 某 著名 论坛 程序 的 多 个 跨 站 漏洞 .就 需要 先 注册 一 个 
用 户 , 然 后 登录 后 进行 特殊 的 发 帖 操作 后 才能 实施 ,那么 在 该 网 站 的 数据 库 中 就 会 留 下 黑客 
注册 的 用 户 名 和 卫 地址、 时 间 等 相关 线索 。 所 以 在 勘 验 中 ,将 网 站 自身 的 数据 库 作为 勘 验 
对 象 也 是 不 容 忽视 的 ,尤其 是 在 一 些 Web 不 记录 日 志 的 案件 现场 中 。 

2. 个 人 计算 机 设备 的 基本 勘查 方法 

在 利用 木马 程序 非法 控制 等 黑客 破坏 计算 机 信息 系统 相关 案件 中 ,一 般 会 涉及 PC 被 
木马 控制 ,这 时 就 需要 对 中 木马 的 机 器 (俗称 "肉鸡 ”进行 勘查 ,而 勘查 的 重点 应 是 木马 的 控 
制 端 IP 地 址 木马 的 基本 功能 及 相关 信息 。 
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1) 查看 可 疑 进程 和 服务 

利用 系统 自 带 的 进程 查看 器 或 者 第 三 方 工具 (如 冰 刃 ) 等 仔细 查看 系统 的 进程 和 已 启动 
的 服务 ,结合 现场 访问 找 出 可 疑 的 进程 或 服务 ,定位 源 程序 位 置 , 并 提取 分 析 。 

2) 分 析 系 统 启动 项 

分 析 系 统 启动 项 是 查找 木马 必 不 可 少 的 步骤 ,木马 常见 的 启动 方法 主要 有 注册 表 、 系 统 
文件 、 系 统 启 动 组 ,文件 关联 、 服 务 加 载 等 方式 。 

(1) 利用 注册 表 项 启动 。 

主要 涉及 的 注册 表 项 有 : 

HKEY_LOCAL_MACHINE\SOFTWARE \ Microsoft \ Windows \ CurrentVersion 
\Run; 

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ 
RunOnce; 

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ 
Runservices; 

HKEY _CURRENT _USER\ SOFTWARE \ Microsoft \ Windows \ CurrentVersion 
\Run; 

HKEY_CURRENT _USER\SOFTWARE\ Microsoft\ Windows \ CurrentVersion \ 
RunOnce。 

(2) 利用 系统 文件 启动 。 

当 系 统 启动 的 时 候 ,Win. ini、system. ini、Autoexec. bat、Config. sys 等 文件 会 随 系统 一 
起 启动 , 且 这 些 文件 是 可 配置 的 , 换 句 话说 ,就 是 可 以 被 木马 利用 的 , 勘 验 时 应 逐一 利用 记事 
本 等 文本 编辑 软件 将 其 打开 ,仔细 查验 可 疑点 。 

(3) 利用 系统 启动 组 。 

系统 预 留 给 用 户 可 配置 的 启动 项 ,位 于 “开始 "一 “程序 ”>“ 启 动 ” 栏 中 ,反映 在 注册 表 中 
的 键 值 为 : 

HKEY_CURRENT _USER\SOFTWARE\ Microsoft \ Windows \ CurrentVersion \ 
Explorer\ShellFolders; 

(4) 利用 文件 关联 。 

文件 关联 是 指 Windows 类 操作 系统 自动 根据 文件 后 绥 名 来 智能 地 选择 打开 该 文件 的 
程序 ,例如 打开 . txt 文件 默认 使 用 notepad. exe, 如 果 修 改 了 默认 打开 程序 ,木马 就 有 可 能 利 
用 这 一 点 来 启动 。 这 是 木马 的 一 种 启动 方式 ,同时 也 是 木马 的 一 种 植 和 方式。 其 对 应 的 注 
册 表 项 为 : 

HKEY_CLASSES_ROOT\exefile\shell\open\command; 

HKEY_LOCAL_ MACHINE\Software\CLASSES\exefile\shell\open\command; 
也 可 以 通过 文件 夹 选项 的 文件 类 型 .高 级 选项 进行 查看 。 
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(5) 利用 服务 加 载 启动 。 

利用 系统 服务 启动 是 当前 木马 启动 最 为 主流 的 方式 ,尤其 是 dll 木马 注入 系统 正常 进 
程 中 。 在 勘 验 过 程 中 应 对 已 启动 的 服务 逐一 查看 ,对 加 载 的 不 明 来 历 的 dl 和 exe 要 重点 关 
注 ( 如 图 10.2 所 示 )。 


服务 名 称 : 
显示 名 称 : 知 plication Experience 


执行 文件 的 路 径 : 

C:\Windows\systen32\svehost. exe ~k netsves 
ES a a=) 
帮助 抄本 因 服 务 启动 计 硕 2 

服务 状态 : 已 启动 

[C5 | En) [Wn 踊 复 F) ] 
当 从 此 处 启动 服务 时 ， 您 可 指定 所 适用 的 启动 参数 。 


启动 者 数 虽 | 


ED Ee 


图 10.2 利用 系统 自 带 的 服务 查看 器 查验 可 疑 服务 


其 他 木马 启动 方式 还 有 驱动 加 载 . 软 件 加 载 \ 硬 盘 mbr 加 载 等 方式 , 勘 验 时 也 不 应 

3) 嗅 探 数 据 包 

利用 wireshark、Iris、Sniffer 等 抓 包 工具 对 系统 进行 数据 包 嗅 探 , 找 出 可 疑 的 网 络 连 
接 。 由 于 木马 一 般 都 是 每 间隔 几 秒 钟 向 控制 端 报 告 一 次 信息 ,这 个 时 段 一 般 被 称 为 木马 的 
心跳 时 间 ,可 以 先 断 网 再 进行 嗅 探 , 抓 取 一 段 时 间 后 找 出 所 有 的 UDP 连接 ,尤其 是 应 重点 
关注 固定 时 段 访问 相同 的 域名 或 IP( 如 图 10. 3 所 示 )。 实 战 中 要 结合 案 发 时 间 、 域 名 
Whois 信息 以 及 勘 验 人 员 的 经 验 等 综合 判断 。 

4) 分 析 系 统 日 志 

系统 中 有 很 多 日 志 记 录 了 程序 设备 、 服 务 包 、 补 丁 等 安装 记录 ,木马 安装 的 过 程 信息 就 
有 可 能 被 记录 在 这 些 日 志 中 ,如 在 Windows 系统 中 应 重点 关注 的 日 志文 件 主要 有 
Setuplog. txt\SetupAPI. log Setupact. log .Netsetup. log、 Schedlgu. txt 等 。 

5) 杀毒 软件 辅助 

为 防止 恶意 软件 对 侦查 的 影响 ,在 对 勘 验 对 象 进行 镜像 操作 后 ,将 镜像 后 的 副本 仿真 启 
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图 10.3 使 用 Iris 软件 抓 取 数据 包 


动 ,安装 最 新 的 杀毒 软件 并 升级 最 新 的 病毒 特征 库 , 然 后 对 全 盘 进 行 扫描 ,对 杀毒 软件 找 出 
的 可 疑 程序 结合 案件 特点 综合 判断 。 

3. 恶意 代码 基本 检测 方法 

在 很 多 涉及 木马 非法 控制 等 案件 中 ,侦查 人 员 技 术 获 取 到 的 可 能 仅仅 是 一 个 程序 文件 
甚至 是 一 段 代码 ,这 就 需要 利用 静态 逆向 分 析 和 动态 抓 包 分 析 等 方法 对 这 些 程序 代码 进行 
检测 ,获取 这 些 代 码 的 大 致 功能 或 木马 的 控制 端 下 等 线索 。 

对 涉及 的 控制 软件 进行 功能 性 鉴定 ,鉴定 重点 主要 包括 是 否 具有 突破 权限 功能 .是 否 对 
被 控 系 统 文件 具有 增删 改 的 功能 等 。 对 于 控制 主机 数量 较 大 ,涉及 地 域 广 的 情况 ,证 据 的 认 
定 应 依靠 对 控制 软件 的 鉴定 和 相关 侦查 实验 来 确定 ,该 软件 是 如 何 同时 控制 多 台 主 机 ,在 功 
能 上 是 如 何 体现 的 加 以 检验 鉴定 ,并 配合 侦查 实验 来 完成 ,并 不 一 定 需要 到 每 个 被 控制 端 分 
别 取 证 。 


10.6.7 侦查 终结 


非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 利益 链 上 的 每 个 环节 可 能 是 单独 
的 团伙 ,也 可 能 是 同一 团伙 ,实战 中 均 可 作为 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信 
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息 系 统 犯罪 案件 的 共犯 处 理 ,也 可 依据 实际 情况 将 其 单独 入 罪 。 

侦查 机 关 对 非法 获取 计算 机 信息 系统 数据 或 者 非法 控制 计算 机 信息 系统 进行 一 系列 的 
侦查 活动 以 后 ,根据 已 经 查 明 的 事实 .证 据 和 有 关 的 法 律 规定 ,做 出 犯罪 嫌疑 人 是 否 犯罪 , 犯 
何 种 罪 .犯罪 情节 轻重 以 及 是 否 应 当 追 究 刑事 责任 的 结论 时 ,决定 结束 侦查 并 对 案件 做 出 处 
理 决定 的 活动 。 负 责 侦查 的 人 员 应 写 出 侦查 终结 报告 。 公 安 机 关 侦 查 的 案件 ,在 侦查 终结 
后 ,对 于 依法 需要 追究 被 告 人 刑事 责任 的 ,应 写 出 “起 诉 意见 书 ” 对 于 依法 可 以 免除 刑罚 的 
被 告 人 ,应 写 出 “ 免 予 起 诉 意见 书 ”; 对 于 不 应 该 追究 刑事 责任 的 ,应 撤销 案件 。 


10.7 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 
案件 的 证 据 要 点 


非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 系统 的 犯罪 行为 一 般 持续 时 间 较 长 , 案 
件 情况 复杂 ,保存 的 数据 多 样 。 非 法 获取 计算 机 信息 系统 数据 控制 计算 机 信息 系统 的 证 据 
要 点 主要 是 关注 获取 数据 的 行为 .控制 过 程 的 行为 和 危害 后 果 的 证 据 。 

与 侵入 计算 机 信息 系统 的 侵入 过 程 可 能 很 短暂 ,其 过 程 清晰 完整 的 特点 不 同 ,非法 控制 
计算 机 信息 系统 的 过 程 可 能 比较 复杂 ,除了 入 侵 行 为 ,还 包括 控制 .转移 ` 贩 卖 数据 等 行为 ， 
涉及 的 嫌疑 人 较 多 。 因 此 要 按照 形成 证 据 链 的 要 求 ,不 但 要 注意 固定 人 侵 行为 的 证 据 , 还 要 
固定 其 控制 行为 结果 的 证 据 。 

1. 获取 的 数据 数量 和 性 质 

确定 获取 的 数据 是 否 为 涉及 金融 的 身份 认证 数据 ,是 否 为 五 百 组 以 上 ; 如 果 不 是 身份 
认证 数据 , 则 要 通过 牟利 情况 或 受害 人 经 济 损失 情况 认定 情节 是 否 严 重 。 

2. 控制 的 主机 数量 和 方式 

控制 的 主机 数量 应 通过 现场 勘 验 、 控 制 软件 程序 功能 性 鉴定 、 侦 查实 验 等 及 时 固定 ,在 
抓获 犯罪 嫌疑 人 时 固定 最 为 适宜 。 由 于 控制 软件 被 杀毒 软件 查 杀 、 被 控 主机 开关 机 时 间 不 
确定 等 诸多 因素 ,可 能 会 导致 犯罪 嫌疑 人 控制 的 主机 数量 变化 较 大 ,甚至 大 幅度 下 降 , 所 以 
及 时 固定 控制 主机 数量 的 证 据 较 为 关键 。 

3. 件 利 情况 

犯罪 嫌疑 人 要 通过 控制 的 主机 、 获 取 的 数据 牟利 ,往往 要 经 过 即时 聊天 工具 、 交 易 平台 
等 ,所 以 在 搜集 证 据 过 程 中 要 特别 注意 固定 QQ、Skype、 淘 宝 旺旺 等 即时 聊天 内 容 , 调 取 支 
付 宝 、 网 银 、 财 付 通 等 资金 往来 证 据 , 还 要 结合 嫌疑 人 的 口供 相互 印证 。 

4. 犯罪 嫌疑 人 真实 身份 和 其 虚拟 身份 、 所 用 设备 等 之 间 的 对 应 关系 

利用 计算 机 等 网 络 终端 内 的 内 容 , 尤 其 是 密码 、 照 片 、 聊 天 内 容 等 信息 ,结合 口供 确定 网 
络 人 侵 终 端 和 嫌疑 人 之 间 的 一 一 对 应 关系 、 认 定 虚拟 身份 .IP 地 址 和 嫌疑 人 之 间 的 一 一 对 
应 关系 等 证 据 。 
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10.8 非法 获取 计算 机 信息 系统 数据 .控制 计算 机 信息 
系统 案例 剖析 


2014 年 2 月 8 日 ,被 告 人 刘 某 通过 “黑客 软件 ?非法 入 侵 某 通讯 股份 有 限 
公司 (以 下 简称 为 “ 某 公 司 ”) 一 技术 支持 网 站 ,该 网 站 域名 为 support XXXX. 
com. cn, 网 站 服务 器 设 在 深圳 市 南山 区 。 刘 某 利 用 AcunetixWebVulnerability 
Scanner 软件 对 网 站 后 台 服 务 器 进行 扫描 ,发 现 漏洞 后 ,将 "一句 话 ”脚本 程序 植 
入 网 站 的 根 目录 ,进而 控制 网 站 后 台 服 务 器 ,后 下 载 服务 器 存储 的 某 公司 多 
个 商业 私密 文件 ,并 将 文件 资料 通过 网 络 邮箱 私自 发 送 给 蒋 某 某 。 


经 过 续 密 侦查 ,2014 年 5 月 29 日 , 刘 某 在 上 海 市 被 民警 抓获 。 经 鉴定 , 刘 某 非法 入 
侵 网 站 的 行为 造成 某 公司 直接 经 济 损失 折合 人 民 币 44 186. 09 元 。 公 诉 机 关 建议 对 被 告 
人 刘 某 判处 二 年 以 下 有 期 徒刑 ,并 处 罚金 。 被 告 人 对 公诉 机 关 指 控 的 上 述 犯 罪 事 实 和 罪 
名 无 异议 。 

经 法 院 审 理 查 明 , 公 诉 机 关 指 控 的 犯罪 事实 属实 。 上 述 事实 ,有 扣押 的 神州 电脑 , 受 案 
登记 表 , 调 取证 据 通 知 书 , 邮 件 内 容 , 扣 押 决 定 书 , 扣 押 清 单 ,抓获 经 过 ,被 告 人 身份 信息 , 谅 
解 书 , 蒋 某 某 的 证 言 , 被 害 公 司 某 通 讯 股份 有 限 公司 委托 人 谭 某 、 谢 某 某 的 陈述 ,非法 入 侵 网 
站 痕迹 、 直 接 经 济 损失 等 鉴定 文书 , 刘 某 、 谢 某 某 、 蒋 某 某 对 非法 下 载 文件 资料 的 辨认 ,邮箱 
资料 ,被 告 人 刘 某 的 供述 等 已 经 查证 属实 的 证 据 证 实 。 

法 院 判 处 被 告 人 刘 某 犯 非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 罪 ,判处 有 
期 徒刑 六 个 月 ,缓刑 一 年 ,并 处 罚金 人 民 币 一 万 元 。 缴 获 的 作案 工具 电脑 一 台 , 由 扣押 机 关 
依法 予以 没收 。 


10.9 本 章 小 结 


非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 的 犯罪 行为 针对 的 是 普通 人 拥有 
的 计算 机 信息 系统 。 这 些 信息 系 统 是 社会 .经济 运行 的 基础 。 打 击 非法 获取 计算 机 信息 系 
统 数据 ,控制 计算 机 信息 系统 犯罪 是 提高 人 民 群 众 社会 安全 感 的 重要 途径 。 对 于 此 类 犯罪 ， 
公安 机 关 应 当 提 高 证 据 意识 ,强化 技术 能 力 , 在 繁杂 的 数据 中 抽 丝 剥 茧 ,将 整个 犯罪 活动 完 
整地 勾勒 出 来 ,才能 做 到 打击 源头 和 下 线 。 
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|==| 考 
LI 


1. 简 述 非法 获取 计算 机 信息 系统 数据 、 控 并 

2. 简 述 非法 获取 计算 机 信息 系统 数据 、 控 人 
统 的 联系 和 区 别 。 

3. 简 述 非法 获取 计算 机 信息 系统 数据 、 控 让 


题 


出 计算 机 信息 系统 罪 的 概念 。 
出 计算 机 信息 系统 与 非法 侵入 计算 机 信息 系 


出 计算 机 信息 系统 案件 的 法 律 规定 。 


4. 概述 非法 获取 计算 机 信息 系统 数据 、 控 


出 计算 机 信息 系统 案件 的 侦查 措施 。 


5. 非法 获取 计算 机 信息 系统 数据 ,控制 计算 机 信息 系统 案件 的 证 据 要 点 有 哪些 ? 


提供 侵入 ,非法 控制 计算 机 信息 
系统 程序 、 工 具 案 件 侦 查 


本 章 学 习 目标 
。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 .工具 的 概念 
。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 ,工具 的 犯罪 构成 
。 提供 侵入 非法 控制 计算 机 信息 系统 程序 工具 的 类 型 和 特点 
> 
二 
pi 


。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 工具 案件 的 法 律 约束 
。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 工具 案件 的 侦查 要 点 
。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 工具 案件 的 证 据 要 点 
。 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 工具 案例 剖析 


提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 案件 ,在 司法 实践 中 较为 少见 ,但 是 提 
供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 确实 是 网 络 黑色 产业 链 中 极为 重要 的 一 环 , 具 
有 高 度 的 技术 性 ,对 此 进行 打击 应 当 是 网 络 犯罪 侦查 的 一 项 重要 工作 ,应 熟悉 此 类 案件 的 特 
点 ,发 展 趋势 以 及 侦查 方法 


11.1 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 .工具 的 概念 


根据 我 国 ( 刑 法 》 第 二 百 八 十 五 条 第 三 款 规 定 ,提供 侵入 ,非法 控制 计算 机 信息 系统 程 
序 .工具 @., 是 指 提供 专门 用 于 侵入 ,非法 控 制 计算 机 信息 系统 的 程序 、 工具 ,或 者 明知 他 人 
实施 侵入 ,非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,情节 严重 的 
行为 。 

“提供 ?可 以 是 利用 硬盘 、U 盘 等 存储 介质 复制 ,也 可 以 是 通过 网 络 软件 点 对 点 传输 , 电 
子 邮 件 方式 发 送 ,也 可 以 是 通过 网 站 、 网 络 云 盘 、 网 络 通讯 群 组 附件 等 形式 提供 。 上 述 程序 、 
工具 可 以 是 行为 人 自己 制作 的 ,也 可 以 是 网 上 下 载 ,购买 等 其 他 方式 获取 的 。 

程序 ,全称 为 计算 机 应 用 程序 或 软件 ,可 以 完成 特定 工作 的 计算 机 代码 封装 的 逻辑 组 
件 ; 工具 , 原 指 工作 时 所 需 用 的 器 具 , 后 引申 为 达到 ,完成 或 促进 某 一 事物 的 手段 。 根 据 ( 最 
高 人 民法 院 \ 最 高 人 民 检 察 院 关 于 办 理 危 害 计算 机 信息 系统 安全 刑事 案件 应 用 法 律 若 干 问 


中 ”最 高 人 民法 院 . 最 高 人 民 检 察 院 关于 执行 (中 华人 民 共 和 国 刑法 ) 确 定罪 名 的 补充 规定 (四 ) 。 
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题 的 解释 》 的 有 关 规定 ， 专 门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”主要 具备 以 
下 功能 : 

(一 ) 具有 各 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ,未 经 授权 或 者 超越 授权 获取 计 
算 机 信息 系统 数据 的 功能 的 ; 

(二 ) 具有 各 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ,未 经 授权 或 者 超越 授权 对 计算 
机 信息 系统 实施 控制 的 功能 的 ; 

(三 ) 其 他 专门 设计 用 于 侵入 ,非法 控制 计算 机 信息 系统 ,非法 获取 计算 机 信息 系统 数 
据 的 程序 .工具 。 

具体 来 说 ,所 谓 专门 用 于 非法 侵入 计算 机 系统 的 程序 .工具 ,主要 是 指 专门 用 于 非法 获 
取 他 人 登录 网 络 应 用 服务 .计算 机 系统 的 账号 、 密 码 等 认证 信息 以 及 智能 卡 等 认证 工具 的 计 
算 机 程序 、 工 具 ; 所 谓 专 门 用 于 非法 控制 计算 机 信息 系统 的 程序 `. 工 具 , 主 要 是 指 可 用 于 绕 
过 计算 机 信息 系统 或 者 相关 设备 的 防护 措施 ,进而 实施 非法 入 侵 或 者 获取 目标 系统 中 数据 
信息 的 计算 机 程序 。D 

侵入 ,非法 控制 计算 机 信息 系统 程序 、 工 具 主 要 分 为 以 下 两 种 : 一 是 专门 用 于 侵入 、\ 非 
法 控制 计算 机 信息 系统 的 程序 工具, 如 盗号 木马 .远程 控制 木马 .网 页 木马 .SQL 注入 程 
序 、 手 机 木马 程序 等 ; 二 是 并 非 专 门 用 于 ,本 身 具有 正当 用 途 , 但 被 他 人 恶意 使 用 后 可 以 实 
现 侵入 、 控 制 计算 机 信息 系统 功能 的 程序 工具 ,例如 ,具有 系统 安全 检测 ,漏洞 扫描 、 远 程控 
制 、 密 码 破解 等 功能 的 程序 .工具 。 

随 着 信息 技术 的 飞速 发 展 和 互联 网 的 不 断 普及 ,国家 以 及 广大 人 民 和 群众 的 日 常生 活 已 
经 与 信息 网 络 密 不 可 分 ,广大 网 民 网 上 浏览 新 闻 、 网 上 社交 、 网 上 支付 结算 、 网 上 炒股 理财 、 
网 上 银行 转账 ,网 上 订 票 等 等 ,都 依赖 于 各 种 计算 机 信息 系统 ,尤其 是 涉及 国家 事务 管理 、 国 
防 、 经 济 建设 .尖端 科学 技术 ,以 及 关系 到 国计民生 的 民航 .电力 海关 .证 券 . 铁 路、 银行 ,或 
者 其 他 经 济 管理 ,政府 办 公 、 军 事 指 挥 控 制 . 科 研 等 重要 领域 的 这 些 计算 机 信息 系统 ,一 旦 被 
非法 侵入 ,控制 ,就 可 能 导致 其 中 重要 、 敏 感 数据 被 泄露 . 算 改 ,产生 灾难 性 的 连锁 反应 ,造成 
严重 的 政治 、 经 济 损失 ,甚至 危及 人 民 的 生命 财产 安全 。 提 供 侵 入 ,非法 控制 计算 机 信息 系 
统 程序 .工具 犯罪 活动 ,往往 是 与 侵入 ,非法 控制 计算 机 信息 系统 以 及 非法 获取 计算 机 信息 
系统 数据 等 犯罪 活动 相互 交织 ,侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 好 比 现实 生活 中 
的 “作案 工具 ”, 虽 然 不 会 直接 参与 到 犯罪 活动 中 , 却 是 上 述 侵害 计算 机 信息 系统 犯罪 活动 的 
上 游 犯罪 ,又 称 为 源头 性 犯罪 ,社会 危害 性 仍然 严重 ,应 当 是 重点 打击 的 对 象 。 


@ 全 国人 大 常委 会 法 工 委 刑法 室 编 :《 中 华人 民 共 和 国 刑法 * 条 文 说 明 、 立 法 理由 及 相关 规定 ,北京 大 学 出 版 社 
2009 年 版 ,第 592 页 。 
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11.2 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 的 犯罪 构成 


传统 的 犯罪 构成 理论 模式 中 ,犯罪 构成 的 要 件 包括 犯罪 主体 、 犯 罪 客 体 、 主 观 方面 和 客 
观 方面 。 


11.2.1 犯罪 主体 


我 国 对 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 的 犯罪 主体 规定 为 一 般 主 体 ， 
凡 达 到 法 定 刑事 责任 年 龄 (年 满 16 周岁 ) 具 有 刑事 责任 能 力 的 自然 人 均 能 构成 本 罪 , 以 单位 
名 义 或 者 单位 形式 实施 危害 计算 机 信息 系统 安全 犯罪 ,追究 直接 负责 的 主管 人 员 和 其 他 直 
接 责 任 人 员 的 刑事 责任 。 


11.2.2 犯罪 客体 


提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 侵 犯 的 客体 是 计算 机 信息 系统 的 安 
全 ,但 不 是 直接 侵犯 ,而 是 通过 将 程序 .工具 提供 给 他 人 的 方式 间接 侵犯 。 


11.2.3 犯罪 的 主观 方面 


提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 的 主观 方面 表现 为 故意 ,即行 为 人 明 
知 其 提供 的 程序 .工具 是 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 ,或 者 明知 他 人 实施 侵 
入 ,非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,希望 或 放任 危害 计算 
机 信息 系统 安全 的 后 果 发 生 。 至 于 其 动机 ,有 的 是 为 谋取 利益 ,有 的 是 展示 或 炫 炊 自 己 在 计 
算 机 方面 的 技术 ,有 的 是 想 泄愤 报复 ,有 的 是 练习 技术 等 等 ,但 不 管 动机 如 何 , 是 否 有 件 利 情 
节 , 都 不 会 影响 本 罪 成 立 。 过 失 不 构成 本 罪 , 如 果 因为 过 失 导 致 以 上 程序 .工具 被 他 人 获取 ， 
则 不 构成 本 罪 。 


11.2.4 犯罪 的 客观 方面 


提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 的 客观 方面 表现 为 提供 侵入 ,非法 控 
制 计 算 机 信息 系统 的 程序 ` 工 具 , 情 节 严重 的 行为 ,构成 本 罪 的 必 备 条 件 是 情节 严重 。 相 关 
程序 工具 的 具体 功能 ,提供 的 人 次 数量 、 违 法 所 得 、 造 成 经 济 损失 的 数额 等 是 判定 是 否 情节 
严重 的 主要 因素 。 本 罪 的 客观 方面 可 以 表现 为 两 种 情况 : 一 是 提供 专门 用 于 侵入 ,非法 控 
制 计算 机 信息 系统 的 程序 .工具 的 行为 《关于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 
法 律 若干 问题 的 解释 ?对 于 上 述 专门 用 于 非法 侵入 、 控 制 计算 机 信息 系统 的 程序 .工具 进行 
了 明确 的 界定 ; 二 是 明知 他 人 实施 侵入 ,非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 
提供 程序 、 工 具 的 行为 ,这 种 程序 、 工 具 不 以 专门 性 为 必要 , 即 可 以 具有 其 他 用 途 , 但 在 恶意 
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使 用 时 即 会 产生 危害 后 果 。 


11.3 ”提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 犯罪 的 类 型 


当前 我 国 司法 实践 中 最 为 常见 的 还 是 提供 专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 
程序 、 工 具 案 件 。 例 如 网 上 贩卖 网 络 攻击 程序 、 盗 号 木马 、 手 机 木马 等 黑客 工具 。 下 面 列举 
出 几 种 常见 的 提供 侵入 ,非法 控制 程序 .工具 犯罪 类 型 。 

1. 网 络 攻击 类 

嫌疑 人 通过 在 互联 网 上 建立 黑客 类 网 站 等 方式 ,贩卖 DDoS 等 网 络 攻击 类 程序 .工具 非法 牟利 。 


2012 年 11 月 , 舒 某 某 注 册 开 办 了 某 网 站 ,利用 该 网 站 出 售 黑客 攻击 软 

件 , 并 在 出 售 的 软件 中 添加 后 门 木马 程序 ,该 木马 程序 能 够 对 其 他 黑客 使 用 

大 此 攻击 软件 的 “肉鸡 ?进行 感染 并 控制 , 舒 某 某 再 将 被 控制 的 "肉鸡 ”出 租 给 其 
LS 他 黑客 使 用 而 从 中 御 利 。 截 至 案 发 , 舒 某 某 非法 获 利 共 计 人 民 币 171 150 元 ; 
被 舒 某 某 控制 的 连 线 “ 肉 鸡 ” 达 1377 台 。 最 终 , 舒 某 某 因 犯 提供 侵入 .非法 控 


案例 。 制 计 算 机 信息 系统 程序 工具 罪 ,被 判处 有 期 徒刑 三 年 ,缓刑 三 年 ,并 处 罚金 
人 民 币 五 万 元 。 
2. 破解 类 


嫌疑 人 通过 在 互联 网 上 贩卖 针对 某 种 计算 机 信息 系统 的 破解 程序 非法 牟利 。 例 如 嫌疑 
人 通过 网 上 贩卖 网 吧 实 名 登记 破解 程序 非法 牟利 ,该 程序 可 以 对 实名 登记 系统 的 侵入 并 进 
行 控 制 修改 ,实现 了 不 用 刷 身份 证 也 可 以 上 网 的 功能 。 


自 2011 年 12 月 份 至 2013 年 5 月份 期 间 , 黄 菜 为 谋取 私利 ,通过 QQ 号 
码 (24XXX19 和 16XXX351) 在 互联 网 上 以 200 元 、300 元 .500 元 不 等 的 
局 | 价格 公开 销售 公安 机 关 网 吧 管 理 软 件 “ 过 渡 王 ”的 免 刷 破解 程序 ,并 通过 银行 
卡 (62XXX98、62X XX14) 收 取 销 售 的 软件 费用 ,违法 所 得 约 40 余万元 。 
黄 某 在 网 上 售卖 的 免 刷 软件 破坏 了 公安 机 关 的 网 吧 管 理 实名 制 信息 系统 , 致 
案例 使 部 分 违法 犯罪 分 子 逃 避 公 安 机 关 打 击 处 理 , 公 安 机 关 无 法 正常 开展 日 常 网 
吧 管 理工 作 , 给 公安 机 关 的 网 吧 管 理工 作 造成 了 极 大 的 混乱 。 最 终 , 黄 某 被 

判处 有 期 徒刑 三 年 ,缓刑 四 年 ,并 处 罚金 人 民 币 二 十 万 元 。 


3. 盗号 类 程序 、 工 具 
嫌疑 人 通过 在 互联 网 上 贩卖 盗号 木马 程序 ,以 便 诈骗 分 子 非法 获取 网 民 的 账号 、 密 码 等 
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数据 信息 。 


2014 年 5.6 月 , 李 茶 先后 两 次 向 书 茶 、 潘 菜 出 售 用 于 盗 取 QQ 账号 、 密 码 
的 木马 程序 ,并 收取 费用 合计 8800 元 。 韦 某 、 潘 某 等 人 利用 从 嫌疑 人 李 某 处 
[4 购买 的 该 木马 程序 实施 盗号 及 诈骗 ,造成 河南 菜 商 贸 有 限 公司 、 江 苏 某 工程 
有 限 公司 被 骗 人 民 币 XX 万 元 。 最 终 , 李 某 被 判处 有 期 徒刑 一 年 ,缓刑 二 年 ， 
案例 。 并 处 罚金 人 民 币 三 万 元 。 

4. 手机 木马 类 
嫌疑 人 通过 互联 网 上 贩卖 具备 监控 手机 短信 .通话 记录 等 功能 的 恶意 程序 非法 牟利 。 


2012 年 11 月 至 2013 年 12 月 间 , 胡 某 为 非法 获 利 ,制作 了 专门 用 于 非法 获 
取 计 算 机 信息 系统 数据 的 程序 (先后 命名 为 “ 猫 提 老 据 ””“ 手 机 监控 大 师 ” 手 机 
大 师 ”“ 安 卓 腿 手机 大 师 ” 等 ), 设 立 服 务 器 及 域名 为 www. androidleg. com 的 网 
站 ,并 通过 互联 网 ,为 该 程序 提供 宣传 介绍 、 下 载 及 购买 链接 ,高 某 明 知 该 程序 
专门 用 于 非法 获取 计算 机 信息 系统 数据 , 仍 于 2013 年 3 月 至 12 月 间 担 任 网 站 
羽 | 销售 客服 ,参与 贩卖 该 程序 , 胡 某 高 某 贩卖 该 程序 ,违法 所 得 合计 人 民 币 
| 38 217 元 ; 陈 某 甲 明知 该 程序 专门 用 于 非法 获取 计算 机 信息 系统 数据 , 仍 于 
2013 年 4 月 至 9 月 间 参 与 贩卖 该 程序 27 次 ,违法 所 得 共计 人 民 币 8078 元 , 归 其 
案例 个 人 所 有 。 经 鉴定 ,该 程序 具有 对 被 监控 安 卓 手机 的 通话 记录 、\ 短 信 记 录 和 所 
在 位 置 .QQ 聊天 记录 和 微 信 聊 天 记录 实施 监控 的 功能 。 最 终 , 胡 某 被 判处 有 期 
徒刑 三 年 ,缓刑 四 年 ,并 处 罚金 人 民 币 四 万 元 ; 高 某 被 判处 有 期 徒刑 一 年 六 个 
月 ,缓刑 二 年 ,并 处 罚金 人 民 币 二 万 元 ; 陈 菜 甲 被 判处 有 期 徒刑 一 年 ,缓刑 二 
年 ,并 处 罚金 人 民 币 二 万 元 。 


5. 游戏 外 挂 类 
针对 网 络 游戏 开发 相应 的 外 挂 ,以 达到 快速 获取 虚拟 物品 营利 的 目的 。 


2013 年 3 月 至 11 月 间 , 林 某 未 经 上 海 数 龙 科技 有 限 公 司 授权 ,私自 制作 

局 | 该 公司 经 营 的 “永恒 之 塔 "游戏 外 挂 程序 ,并 将 该 程序 放 在 其 百度 网 盘 上 共 

/4 享 。 林 某 为 非法 牟利 ,在 淘宝 网 上 出 售 该 外 挂 程序 运行 时 所 需 的 卡 密 给 他 

人 :, 达 100 余人 次 ,违法 所 得 合计 人 民 币 10 000 余 元 。 经 鉴定 , 林 某 制作 并 提 

案例 供给 他 人 的 程序 “4. 义 . 4” 是 专门 用 于 非法 控制 计算 机 信息 系统 的 程序 、 工 具 。 
最 终 , 林 菜 被 判处 有 期 徒刑 三 年 ,并 处 罚金 人 民 币 一 万 元 。 
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11.4 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 的 特点 


提供 侵入 、\ 非 法 控制 计算 机 信息 系统 程序 .工具 犯罪 除了 具备 网 络 犯罪 所 共有 的 智能 
性 、 匿 名 性 、 跨 地 域 性 、 趋 利 性 ,低龄 性 等 特点 外 ,主要 还 具有 以 下 几 个 突出 特点 。 

1. 专业 性 

从 事 此 类 犯罪 的 行为 人 大 多 具有 较 高 学 历 和 熟练 计算 机 专业 技能 ,如 程序 设计 师 、 工 程 
师 、 系 统管 理 员 .计算 机 技术 爱好 者 等 等 。 他 们 通常 具有 相当 高 的 计算 机 网 络 专业 技术 和 熟 
练 的 操作 技能 ,不 仅 需要 熟悉 掌握 计算 机 编程 技术 以 及 操作 系统 .计算 机 信息 系统 的 缺陷 和 
漏洞 ,而 且 还 需要 相当 水 平 的 计算 机 编程 能 力 , 能 够 运用 计算 机 编程 语言 和 程序 调试 工具 ， 
采取 利用 计算 机 信息 系统 漏洞 等 方式 ,编写 制作 出 具有 绕 过 或 者 突破 计算 机 信息 系统 安全 
保护 措施 ,获取 计算 机 信息 系统 数据 或 者 控制 权限 的 功能 程序 工具。 与 传统 犯罪 相 比 ,此 
类 犯罪 具有 专业 性 。 

2. 源头 性 

从 表面 上 看 ,提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 行为 与 最 终 的 危害 计算 
机 信息 系统 安全 的 后 果 没有 直接 关联 。 某 些 不 法 分 子 甚至 辩 称 * 制 作 传播 木马 好 比 生产 菜 
刀 , 去 砍 人 的 才 是 嫌疑 人 ”, 但 是 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 犯罪 行为 的 
危害 性 远 远 超过 直接 使 用 者 。 因 为 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 是 网 络 犯罪 的 
基础 和 源头 ,一 旦 缺失 这 些 程序 和 工具 ,侵入 ,非法 控制 计算 机 信息 系统 以 及 非法 获取 计算 
机 信息 系统 数据 的 犯罪 行为 往往 无 法 实施 。 在 网 络 犯罪 产业 链 中 ,一 小 部 分 网 络 犯罪 分 子 
专门 制作 贩卖 侵入 、 获 取 数 据 和 控制 计算 机 信息 系统 的 木马 程序 、 恶 意 程序 ,他 们 处 于 整个 
产业 链 的 最 上 游 , 一 大 部 分 网 络 犯 罪 分 子 使 用 前 述 程序 、 工 具 等 实施 针对 计算 机 信息 系统 或 
数据 的 具体 网 络 犯 罪行 为 ,形成 了 一 个 分 工 明确 、 相 互 衔接 、 相 互 依存 的 网 络 犯罪 “产业 链 ”， 
整个 产业 链 的 源头 就 是 上 述 程 序 、 工 具 的 提供 者 ,因此 此 类 犯罪 具有 源头 性 。 
3. 复合 性 
侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 只 有 经 过 制作 和 传播 后 才能 发 挥 作用 。 
其 中 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 制作 包括 自己 编程 编译 木马 程序 或 者 
利用 他 人 的 源 代码 进行 修改 而 形成 新 的 木马 。 而 木马 的 制作 者 一 般 不 亲自 从 事 入 侵 行 
为 ,而 是 利用 他 人 进行 传播 ,包括 各 种 代理 层 层 转 包 , 造 成 更 大 的 危害 。 和 危害 后 果 与 制作 
传播 有 因果 关系 。 仅 仅 出 于 研究 目的 ,制作 不 传播 不 会 造成 危害 ,而 恰恰 是 为 了 经 济 利 
益 , 制 作 并 传播 侵入 、 非 法 控制 计算 机 信息 系统 程序 工具 ,形成 了 提供 的 行为 ,这 种 行为 
具有 复合 性 。 
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11.5 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 与 计算 机 病毒 等 破坏 性 程序 的 区 别 


侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 与 计算 机 病毒 等 破坏 性 程序 相 比 ,具有 以 下 
不 同 之 处 。 

1. 主要 功能 不 同 

侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 主要 功能 是 控制 计算 机 信息 系统 权限 、 获 
取 其 中 的 数据 ,计算 机 病毒 的 目的 是 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 。 

2. 传播 方式 不 同 

侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 为 了 隐蔽 性 考虑 ,往往 不 具备 自我 复制 功能 ， 
仅仅 是 潜伏 在 计算 机 信息 系统 内 ,执行 控制 者 指令 ,不 会 以 自身 复制 模式 大 规模 传播 ,仅仅 
通过 点 对 点 的 渠道 进行 传播 。 而 计算 机 病毒 则 具有 复制 性 ,特点 是 在 短 时 期 内 迅速 传播 , 尽 
可 能 感染 并 破坏 更 多 的 计算 机 信息 系统 。 

3. 运行 条 件 不 同 

侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 往 往 具有 控制 端 和 客户 端 ,二 者 都 是 独立 的 
程序 ,必须 在 联网 条 件 下 进行 指令 和 数据 的 传输 才能 发 挥 作用 。 计 算 机 病毒 则 往往 是 可 以 
独立 运行 ,即使 不 联网 ,仍然 能 够 独立 地 起 到 破坏 作用 。 


11.6 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 案件 的 法 律 约束 


法 律 对 于 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 的 法 律 约束 的 规定 主要 有 : 
(1)《 中 华人 民 共 和 国 刑法 》; 


(2)《 关 于 办 理 危 害 计算 机 信息 系统 安全 刑事 案件 应 用 法 律 若 干 问 题 的 解释 》。 
其 中 的 相关 条 款 如 下 。 


11.6.1 《中 华人 民 共 和 国 刑 法 》 


第 二 百 八 十 五 条 规定 “提供 专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 \ 工 具 , 或 者 
明知 他 人 实施 侵入 、 非 法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 、 工 具 , 情 节 
严重 的 ,依照 前 款 的 规定 处 罚 ”。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。 
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11.6.2 《关于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 若 
干 问题 的 解释 》 


第 二 条 具有 下 列 情形 之 一 的 程序 .工具 ,应 当 认 定 为 刑法 第 二 百 八 十 五 条 第 三 款 规 定 
的 “专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”: 

(一 ) 具有 避 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ,未 经 授权 或 者 超越 授权 获取 计 
算 机 信息 系统 数据 的 功能 的 ; 

(二 ) 具有 各 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ,未 经 授权 或 者 超越 授权 对 计算 
机 信息 系统 实施 控制 的 功能 的 ; 

(三 ) 其 他 专门 设计 用 于 侵入 ,非法 控制 计算 机 信息 系统 ,非法 获取 计算 机 信息 系统 数 
据 的 程序 、 工 具 。 

第 三 条 提供 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ,具有 下 列 情形 之 一 的 ,应 当 认 
定 为 刑法 第 二 百 八 十 五 条 第 三 款 规定 的 “情节 严重 ”: 

(一 ) 提供 能 够 用 于 非法 获取 支付 结算 、 证 券 交 易 、 期 货 交 易 等 网 络 金 融 服 务 身 份 认证 
信息 的 专门 性 程序 .工具 五 人 次 以 上 的 ; 

(二 ) 提供 第 (一 ) 项 以 外 的 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 二 十 
人 次 以 上 的 ; 

(三 ) 明知 他 人 实施 非法 获取 支付 结算 、 证 券 交 易 、 期 货 交易 等 网 络 金 融 服 务 身 份 认证 
信息 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 五 人 次 以 上 的 ; 

(四 ) 明知 他 人 实施 第 (三 ?项 以 外 的 侵入 ,非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 
为 其 提供 程序 工具 二 十 人 次 以 上 的 ; 

(五 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(六 ) 其 他 情节 严重 的 情形 。 

实施 前 款 规定 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 提供 侵入 ,非法 控制 计算 机 信息 
系统 的 程序 、 工 具 “ 情 节 特 别 严 重 ”: 

(一 ) 数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (五 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 其 他 情节 特别 严重 的 情形 。 


11.7 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 、 
工具 案件 的 侦查 要 点 


11.7.1 案件 管辖 


提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 的 地 域 管 辖 ,应 当 坚持 刑事 诉讼 法 
规定 的 以 犯罪 地 管辖 为 主 、 被 告 人 居住 地 管辖 为 辅 的 原则 。 具 体 按 ( 关 于 办 理 网 络 犯罪 案件 
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适用 刑事 诉讼 程序 若干 问题 的 意见 ) 规 定 执行 。 
11.7.2 立案 审查 


于 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 嫌疑 人 处 于 整个 网 络 黑色 产业 链 
的 上 层 , 具 有 高 度 的 隐蔽 性 ,因此 这 类 案件 线索 通常 情况 都 是 在 侵入 、 非 法 控制 计算 机 信息 
系统 或 非法 获取 计算 机 信息 系统 数据 等 案件 中 浮现 出 来 ,例如 在 侵入 计算 机 信息 系统 案件 
中 发 现 犯 罪 分 子 使 用 的 程序 、 工 具 来 源 。 在 发 现 这 类 案件 后 ,应 当 与 原来 的 案件 区 别 对 待 ， 
要 对 相关 的 案件 材料 进行 深入 细致 的 审查 , 查 明 并 确定 其 性 质 , 了 解 是 否 属于 其 管辖 范围 、 
是 否 达到 立案 标准 ,如 果 超 出 管辖 范围 ,要 根据 规定 呈请 上 级 机 关 决 定 。 

提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 的 线索 可 能 来 自 于 多 个 方面 ,在 实 
际 的 侦查 工作 中 ,公安 机 关 在 办 理 侵入 ,非法 控制 计算 机 信息 系统 或 非法 获取 计算 机 信息 系 
统 数据 .DDoS 网 络 攻击 以 及 网 银 盗 窃 等 侵害 计算 机 信息 系统 等 案件 过 程 中 ,追踪 犯罪 分 子 
使 用 的 程序 .工具 来 源 往往 是 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 线索 的 重 
要 来 源 之 一 。 

违法 犯罪 事实 的 审查 应 该 重点 从 具体 的 程序 .工具 样本 人 手 , 提 供 的 方式 和 次 数 , 以 及 
违法 所 得 、 造 成 经 济 损失 数额 等 方面 分 别 审查 。 

提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 活 动 必须 要 达到 严重 情节 以 上 方 可 追究 
刑事 责任 。2011 年 发 布 的 (最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计 算 机 信息 系统 
安全 刑事 案件 应 用 法 律 若干 问题 的 解释 ?对 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 
的 情节 严重 .情节 特别 严重 情况 做 了 规定 。 


11.7.3 侦查 措施 和 流程 


案件 的 侦查 应 该 查 明 嫌 疑 人 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 活动 的 主要 
犯罪 事实 。 查 清 主要 犯罪 事实 就 是 要 查 明 嫌疑 人 提供 相关 程序 .工具 活动 的 具体 开展 情况 ， 
相关 程序 和 工具 的 功能 性 检验 鉴定 、 提 供 的 次 数 ,造成 的 后 果 、 经 济 损失 和 违法 所 得 数额 认 
定 等 方面 。 网 络 案件 侦查 工作 可 以 围绕 网 上 、 网 下 侦查 以 及 信息 流 的 调查 .资金 流 的 调查 几 
个 方面 开展 。 

提供 侵入 ,非法 控制 计算 机 信息 系统 程序 `. 工 具 案 件 的 主要 侦查 措施 有 如 下 几 种 。 

1. 网 络 查证 

通过 其 他 侵害 计算 机 信息 系统 案件 发 现 的 线索 ,确定 犯罪 活动 的 指向 。 比 如 一 系列 的 
侵入 计算 机 信息 系统 案件 中 使 用 的 木马 .通过 木马 的 使 用 者 可 以 追溯 到 传播 者 ,通过 传播 者 
可 以 追溯 到 制作 者 。 木 马 的 同 源 性 认定 ,可 以 确定 是 否 为 同一 个 人 或 者 同一 伙 人 进行 制作 、 
提供 的 。 

2. 资金 查证 

通过 牟利 所 得 收集 线索 ,固定 证 据 。 提 供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 犯 
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罪 的 主要 目的 是 牟利。 因此 从 资金 链 的 走向 可 以 追溯 到 最 终 的 制作 者 和 传播 者 。 例 如 这 类 
CL 罪 的 资金 来 往 基 本 都 是 通过 网 络 进行 支付 ,利用 资金 的 查证 往往 可 以 查找 到 相关 嫌疑 人 。 
3. 固定 电子 数据 证 据 
网 络 犯罪 案件 的 侦查 过 程 中 要 特别 注意 提高 电子 数据 证 据 的 及 时 固定 意识 ,例如 涉案 
程序 工具 涉案 网 站 涉案 电脑 ,涉案 通讯 网 络 群 组 等 方面 的 电子 数据 的 提取 与 固定 , 相 比 证 
人 证 言 , 犯 罪 嫌 疑 人 供述 等 较 传统 的 证 据 类 型 ,电子 数据 证 据 往往 是 网 络 犯罪 案件 更 为 直接 
的 证 据 。 


11.7.4 排查 和 抓 捕 


经 过 前 期 的 基本 情况 调查 ,确定 了 程序 与 工具 的 性 质 ,掌握 了 大 致 的 提供 次 数 、 非 法 所 
得 数额 等 外 围 情况 后 ,下 一 阶段 需要 围绕 排查 、 抓 捕 嫌 疑 人 开展 工作 。 提 供 侵入 、\ 非 法 控制 
计算 机 信息 系统 程序 .工具 的 排查 一 般 都 是 在 网 上 排查 ,根据 木马 程序 的 分 析 和 资金 的 回 
溯 , 可 以 将 犯罪 嫌疑 人 的 身份 确定 下 来 ,一 般 来 说 ,排查 时 应 当 注 意 ,这 类 案件 的 木马 制作 者 
和 传播 者 是 否 为 一 个 团伙 ,是 否 在 制作 木马 时 有 所 分 工 , 甚 至 是 购买 他 人 源码 进行 修改 制 
作 。 如 果 为 这 种 情况 ,应 当 统筹 考虑 ,尽量 将 涉及 木马 制作 和 传播 的 嫌疑 人 全 部 排查 出 来 。 
在 抓 捕 嫌疑 人 时 ,应当 根据 人 数 ,. 地 理 位 置 统一 抓 捕 :没有 条 件 的 可 以 优先 抓 捕 主要 犯罪 嫌 
疑 人 ,尽量 避免 抓 捕 过 程 中 惊动 其 他 嫌疑 人 。 


11.7.5 询问 和 讯问 


以 木马 为 例 , 提 供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 工 具 的 涉案 人 员 要 分 为 木马 的 
制作 者 、 传 播 者 、 使 用 者 和 被 害 人 。 其 中 对 于 制作 者 的 讯问 ,要 重点 确定 木马 的 版 本 、 危 害 、 
源码 的 存放 位 置 等 木马 制作 信息 。 对 于 传播 者 的 讯问 ,要 确定 与 制作 者 的 通讯 信息 、 购 买 信 
息 。 对 使 用 者 的 询问 则 是 了 解 与 传播 者 之 间 的 通讯 信息 和 使 用 的 情况 .危害 后 果 。 对 被 害 
人 的 询问 重点 要 确定 被 害 过 程 和 损失 情况 。 


11.7.6 现场 勘查 


现场 勘查 是 固定 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 重要 环节 。 如 果 现 场 
勘查 不 充分 ,很 有 可 能 造成 此 类 案件 的 证 据 灭 失 , 这 也 是 多 数 此 类 案件 无 法 侦破 的 原因 。 现 
场 勘查 要 根据 讯问 和 询问 情况 ,对 于 制作 者 的 计算 机 设备 进行 检查 ,主要 是 编程 工具 、 木 马 
的 源 代码 ,与 他 人 的 沟通 交流 情况 。 而 对 传播 者 的 计算 机 设备 的 检查 ,重点 是 各 种 版 本 的 木 
马 .与 制作 者 和 使 用 者 的 通讯 联系 。 对 提取 出 来 的 木马 ,要 进行 逆向 分 析 , 与 源 代码 进行 比 
对 ,以 确定 同一 性 。 


11.7.7 侦查 终结 
在 嫌疑 人 抓 捕 归案 后 ,应 当 确 定案 件 事 实 是 否 准确 ,对 于 案件 中 证 据 和 材料 判断 是 否 互 
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相 衔接 .具有 因果 关系 。 在 查 明 了 制作 者 、 传 播 者 、 使 用 者 和 被 害 人 之 间 的 关联 关系 后 ,就 可 
以 判定 之 间 的 因果 关系 。 

对 于 犯罪 事实 清楚 ,证 据 确实 、 充 分 ,法 律 手续 完备 ,依法 应 当 追 究 刑事 责任 的 案件 ,应 
当 制 作 《 起 诉 意见 书 》, 经 县 级 以 上 公安 机 关 负 责 人 批准 后 ,连同 案卷 材料 .证 据 , 一 并 移交 同 
级 人 民 检 察 院 审查 决定 。 


11.8 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 案件 的 证 据 要 点 


电子 数据 形式 的 证 据 材 料 是 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 重要 的 
证 据 形 式 , 其 要 点 是 : 

(1) 电子 数据 的 提取 、 固 定 与 恢复 ,应 该 按照 有 关 规 范 要 求实 施 ,确保 流程 规范 合法 。 

(2) 电子 证 据 应 当 对 其 进行 符合 司法 要 求 的 固定 ,例如 现场 勘 验 时 获取 的 证 据 要 做 哈 
希 值 计算 ,以 确定 唯一 性 。 

(3) 现场 勘 验 要 制作 现场 勘 验 笔录 ,如 果 需 要 对 木马 的 功能 确定 ,应 当 到 有 检验 鉴定 资 
质 的 部 门 进行 程序 功能 性 检验 鉴定 ,形成 报告 文书 。 

(4) 电子 数据 具有 易 失 性 ,因此 在 此 类 案件 中 ,提前 做 好 预案 ,及 时 提取 电子 数据 ,防止 
证 据 灭 失 , 同 时 防止 嫌疑 人 毁灭 证 据 。 


11.9 提供 侵入 、 非 法 控制 计算 机 信息 系统 程序 、 
工具 案例 剖析 


2008 年 5 月 6 上 日, 某 省 水 利 厅 的 官方 网 站 页 面 无 法 打开 , 妖 似 被 黑客 侵 
入 。 该 网 站 主要 承担 公文 办 理 、 汛 情 传递 等 重要 任务 ,日 访问 量 达 5000 人 次 。 
当时 ,该 省 已 进入 汛期 ,网 站 能 否 正常 运行 将 直接 影响 该 省 防汛 工作 。 当 日 ， 
该 省 水 利 厅 向 警方 报案 。 


市 公安 局 网 安 支队 接 报 后 ,经 过 现场 勘查 ,专案 组 确认 “ 某 水 利 网 ” 系 遭 到 黑客 攻击 而 瘫 
痪 。 办 案 人 员 经 过 连续 几 天 艰苦 工作 终于 查 明 , 导 致 " 某 水 利 网 ?瘫痪 的 原因 是 黑客 将 一 款 
名 为 “大 小 姐 ” 的 木马 程序 植 信 了 水 利 厅 的 网 站 后 台 程 序 。 通 过 进一步 排查 ,专案 组 发 现 嫌 
疑 人 位 于 湖北 省 宜昌 市 某 小 区 内 。 在 宜昌 市 公安 局 网 安 支 队 的 配合 下 ,5 月 14 日 ,警方 将 
逃离 宜昌 的 犯罪 嫌疑 人 何某 等 人 抓获 。 

按照 公安 部 的 指令 ,追踪 “大 小 姐 ” 木 马 黑 客 的 始作俑者 。 经 艰苦 工作 ,专案 组 分 别 于 6 
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月 13 日 在 上 海 ,6 月 24 日 在 四 川 广元 、 绵 阳 等 地 ,抓获 了 制作 、 传 播 " 大 小 姐 系 列 木马 病 
毒 ,涉嫌 破坏 计算 机 信息 系统 的 团伙 组 织 者 王 某 、 编 程 者 龙 某 及 销售 总 代理 周 某 等 10 人 。 

2008 年 9 月 ,公安 机 关 将 该 案 向 人 民 检 察 院 移送 审查 起 诉 。 当 时 ,办 案 检察 官 面临 的 
最 大 困难 是 电子 证 据 如 何 使 用 和 固定 。 例 如 ,犯罪 嫌疑 人 的 买卖 交易 都 是 在 网 上 进行 ,犯罪 
所 得 也 都 是 通过 “支付 宝 " 等 网 上 支付 形式 支付 。 对 于 电子 数据 的 认定 经 过 警方 3 次 补充 侦 
查 。 最 终 检 察 院 认 定 了 案件 全 部 证 据 , 于 2009 年 3 月 31 日 向 法 院 提交 了 嫌疑 人 涉及 “提供 
侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 ”的 起 诉 书 。 

法 院 对 案件 作出 判决 。 法 院 认 为 : 被 告 人 王 某 、 龙 某 等 人 违反 国家 规定 ,提供 专门 用 于 
侵入 ,非法 控制 计算 机 信息 系统 的 程序 或 采用 技术 手段 ,获取 计算 机 信息 系统 中 存储 的 数 
据 , 情 节 严 重 ,其 行为 均 已 构成 “非法 获取 计算 机 信息 系统 数据 、 控 制 计算 机 信息 系统 罪 ” 和 
“提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 ”, 属 共同 犯罪 。 依 据 ( 中 华人 民 共 和 国 刑 
法 ) 第 二 百 八 十 五 条 第 二 款 、 第 三 款 等 规定 ,判处 王 某 有 期 徒刑 一 年 二 个 月 ,并 处 罚金 50 万 
元 ; 判处 龙 某 有 期 徒刑 一 年 ,并 处 罚金 10 万 元 。 另 4 名 被 告 人 也 分 别 被 判处 一 年 或 一 年 以 
上 有 期 徒刑 ,并 处 罚金 。 


11.10 本 章 小 结 


我 国 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 犯罪 猩 镍 ,滋生 了 大 量 网 络 黑客 
攻击 破坏 活动 ,严重 威胁 了 国内 网 络 安全 秩序 ,给 国民 经 济 造成 了 巨大 损失 。 对 其 侦查 和 诉 
讼 研究 是 非常 有 必要 的 ,不 但 能 够 在 司法 实践 中 严惩 犯罪 ,同时 又 可 以 起 到 警示 教育 作用 。 


思 考 题 


1. 简 述 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 概念 。 
2. 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 常见 类 型 有 哪些 ? 
3. 简 述 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 与 计算 机 病毒 等 破坏 性 程序 的 


4. 涉及 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 的 法 律 法 规 主 要 有 哪些 ? 

5. 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 在 立案 审查 过 程 中 需要 注意 的 
问题 是 什么 ? 

6. 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 的 主要 证 据 类 型 有 哪些 ? 可 能 
涉及 哪些 方面 的 电子 证 据 ? 

7. 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 案件 在 诉讼 程序 中 需要 重点 注意 的 
事项 是 什么 ? 


破坏 计算 机 信息 系统 案件 侦查 


本 章 学 习 目标 

。 破坏 计算 机 信息 系统 的 概念 

。 破坏 计算 机 信息 系统 的 犯罪 构成 

。 破坏 计算 机 信息 系统 的 类 型 和 特点 
。 破坏 计算 机 信息 系统 案件 的 法 律 约束 
。 破坏 计算 机 信息 系统 案件 的 侦查 要 点 
。 破 坏 计算 机 信息 系统 案件 的 证 据 要 点 
。 破坏 计算 机 信息 系统 案例 剖析 


随 着 信息 技术 的 不 断 发 展 , 人 们 的 生产 生活 已 与 信息 网 络 密 不 可 分 ,网 络 通讯 联络 、 网 
上 信息 发 布 , 网 络 购物 .网络 支付 等 基于 计算 机 信息 系统 的 各 种 网 络 应 用 已 经 走 进 千 家 万 
户 。 破 坏 计算 机 信息 系统 案件 高 发 ,在 网 络 犯罪 侦查 实践 中 属于 常见 的 违法 犯罪 类 型 ,由 于 
破坏 计算 机 信息 系统 活动 隐蔽 性 高 ,犯罪 成 本 较 低 , 且 能 够 带 来 巨额 非法 利益 ,导致 屡 禁 不 
止 `. 屡 打 不 绝 。 熟 悉 破 坏 计算 机 信息 系统 案件 的 基本 概念 、 常 见 类 型 .特点 和 发 展 趋 势 是 开 
展 案 件 侦查 工作 的 前 提 。 


12.1 破坏 计算 机 信息 系统 的 概念 


根据 我 国 (刑法 ) 第 二 百 八 十 六 条 规定 : 破坏 计算 机 信息 系统 罪 , 是 指 违反 国家 规定 ,对 
计算 机 信息 系统 功能 进行 删除 ,修改 、 增 加 干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,对 计 
算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 修 改 、 增 加 的 操作 ,或 者 故 
意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 的 正常 运行 ,后 果 严 重 的 行为 。 

破坏 计算 机 信息 系统 罪 与 非法 侵入 计算 机 信息 系统 罪 是 不 同 的 罪名 。 区 分 二 者 的 关键 
主要 在 于 犯罪 对 象 不 同 。 后 者 是 涉及 国家 事务 .国防 建设 .尖端 科学 技术 领域 等 具有 对 国家 
安全 和 秘密 产生 重大 影响 或 破坏 性 的 犯罪 ,犯罪 行为 一 旦 发 生 , 性 质 就 比较 严重 ,因而 刑法 
未 规定 必须 造成 严重 后 果 ; 本 罪 的 犯罪 对 象 是 一 般 计 算 机 信息 系统 ,因而 法 条 规定 了 以 造 
成 严重 后 果 为 构成 犯罪 的 条 件 。 
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12.2 破坏 计算 机 信息 系统 的 犯罪 构成 


12.2.1 犯罪 主体 


破坏 计算 机 信息 系统 罪 的 主体 ,是 指 达到 法 定 责 任 年 龄 , 即 年 满 16 周岁 具有 刑事 责任 
能 力 , 实 施 破坏 计算 机 信息 系统 罪行 为 的 自然 人 。 和 犯罪 主体 一 般 具 有 较 高 的 计算 机 知识 水 
平 ,同时 年 龄 普遍 偏 低 , 通 常 是 那些 精通 计算 机 技术 .具有 专业 知识 的 人 。 根 据 不 完全 统计 ， 
从 公安 机 关 侦 破 的 此 类 案件 来 看 , 约 90% 的 犯罪 嫌疑 人 年 龄 在 30 岁 以 下 ,83% 的 犯罪 嫌疑 
人 具有 大 学 以 上 学 历 。 

破坏 计算 机 信息 系统 案件 的 主体 也 可 以 是 单位 。 以 单位 名 义 或 者 单位 形式 实施 危害 计 
算 机 信息 系统 安全 犯罪 ,达到 定罪 量刑 标准 的 ,应 当 依 照 ( 刑 法 ) 第 二 百 八 十 六 条 的 规定 追究 
直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 的 刑事 责任 。 


12.2.2 犯罪 客体 


破坏 计算 机 信息 系统 罪 侵犯 的 客体 是 国家 对 计算 机 信息 系统 的 管理 秩序 ,本 罪 的 犯罪 
对 象 是 计算 机 软件 .信息 数据 和 应 用 程序 , 即 通过 技术 手段 , 非 暴 力 地 破坏 计算 机 信息 系统 ， 
从 而 影响 计算 机 信息 系统 的 正常 运行 和 数据 的 完整 。 


12.2.3 犯罪 的 主观 要 件 


破坏 计算 机 信息 系统 罪 的 主观 方面 必须 是 出 于 故意 ,即行 为 人 明知 会 破坏 计算 机 信息 
系统 安全 ,仍然 实施 破坏 系统 功能 、 程 序 以 及 编写 ,传播 病毒 的 行为 ,并 且 和 希望 或 放任 这 种 危 
害 后 果 的 发 生 。 至 于 其 动机 ,有 的 是 为 显示 自己 在 计算 机 方面 的 高 超 才能 .有 的 是 想 泄愤 报 
复 , 有 的 是 想 窃取 秘密 ,有 的 是 想 谋取 利益 ,有 的 仅仅 是 练习 技术 等 等 ,但 不 管 动机 如 何 , 不 
会 影响 本 罪 成 立 。 过 失 不 构成 本 罪 , 如 果 因 操作 踢 忽 大 意 或 者 技术 不 熟练 甚至 失误 而 致使 
计算 机 信息 系统 功能 ,或 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 、 应 用 程序 遭受 破坏 ， 
则 不 构成 本 罪 。 


12.2.4 犯罪 的 客观 要 件 


本 罪 主 要 包括 三 种 表现 形式 : 

(1) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修 改 、 增 加 ,干扰 ,造成 计算 机 信 
息 系统 不 能 正常 运行 ,后 果 严 重 的 行为 。 

(2) 违法 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删 
除 、 修 改 、 增 加 的 操作 ,后 果 严 重 的 行为 。 

(3) 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 的 正常 运行 ,后 果 严 重 的 
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12.3 破坏 计算 机 信息 系统 的 类 型 


破坏 计算 机 信息 系统 案件 的 类 型 多 样 , 以 下 是 几 种 的 典型 类 型 。 
12.3.1 破坏 计算 机 信息 系统 功能 


此 种 类 型 主要 表现 为 基于 报复 .商业 竞争 .恶意 敲诈 等 目的 ,利用 技术 手段 对 某 个 企 事 
业 单 位 信息 管理 系统 、 网 站 平台 、 网 络 游戏 平台 等 类 型 的 计算 机 信息 系统 进行 功能 破坏 和 干 
扰 , 使 其 无 法 正常 运行 。 常 见 的 有 逻辑 炸弹 `\DDoS 攻击 等 。 


张 某 系 某 网 站 的 程序 员 , 因 辞职 后 工资 结算 问题 与 公司 发 生 矛 盾 , 遂 利 
用 专业 知识 对 公司 提供 给 客户 的 某 计 费 系 统 设 置 了 “时 间 炸 弹 ”, 在 离职 后 1 
个 月 后 “爆炸 ”, 造 成 该 系统 彻底 竣 首 。 这 就 是 典型 的 对 计算 机 信息 系统 的 功 
案例 能 进行 修改 ,结果 是 系统 不 能 正常 运行 。 


再 如 , 某 黑客 团伙 采取 DDoS 方式 攻击 某 网 游 平 台 ,使 其 无 法 正常 运行 ,敲诈 勒索 游戏 
公司 向 其 缴纳 保护 费 。 


2013 年 7 月 5 日 至 8 日. 王 某 指使 姚 某 ( 已 判刑 ) 在 网 络 上 雇佣 “阿布 小 
组 ”等 黑客 ,多 次 攻击 “物流 中 国 ” 网 站 ,致使 该 网 站 不 能 正常 运行 ,造成 直接 
经 济 损失 合计 人 民 币 36 000 元 。 王 某 于 2014 年 1 月 9 日 被 公安 机 关 查获 。 
北京 市 平谷 区 人 民法 院 于 2015 年 2 月 以 破坏 计算 机 信息 系统 罪 判 处 被 告 人 
王 某 有 期 徒刑 一 年 六 个 月 。 


12.3.2 破坏 计算 机 信息 系统 数据 


此 种 类 型 主要 表现 为 犯罪 团伙 为 了 非法 谋取 利益 ,采用 技术 手段 非 法 算 改 高 校 招 生 , 证 
件 管理 税务 信息 管理 .网 络 游戏 平台 等 计算 机 信息 系统 中 存储 的 数据 ,再 结合 诈骗 .办 假 
证 ,倒卖 游戏 币 等 方式 来 非法 人 牟利。 如, 某 黑 客 通过 侵入 某 高 校 的 招生 信息 系统 ,结合 诈骗 
分 子 , 添 加 未 被 录取 的 考生 信息 ,向 考生 的 家 长 骗取 相关 费用 ; 某 技术 人 员 通 过 在 税务 缴纳 
管理 信息 中 帮 他 人 添加 完税 信息 ,使 其 具备 购房 资格 ,非法 收取 费用 牟利 ; 某 技术 人 员 通 过 
在 驾驶 员 驾 驶 证 管理 系统 中 帮 他 人 添加 驾驶 证 信息 ,非法 收取 费用 牟利 ; 某 黑客 通过 技术 
手段 非法 侵入 某 网 络 游戏 管理 系统 , 算 改 自己 账户 中 的 游戏 币 数量 ,并 在 网 上 变卖 件 利 。 
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邵 某 某 、 尚 某 \ 赵 某 等 人 经 预谋 后 ,于 2013 年 11 月 中 自 至 12 月 上 自 , 利 
用 被 告 人 赵 某 在 苏州 市 吴 中 区 地 税 一 分 局 担任 协 税 员 ,具有 登录 进入 江苏 地 
税 省 级 大 集中 税收 征管 信息 系统 的 工作 便利 ,由 被 告 人 邵 某 某 提 供 名 单 , 尚 
某 等 人 负责 联系 、 沟 通 , 赵 某 进行 修改 操作 ,先后 修改 上 述 系统 中 个 人 完税 信 
息 300 余 条 ,使 不 具备 在 苏州 买房 资格 的 人 具有 买房 资格 ,并 从 中 非法 获 利 人 
民 币 200 余万元 。 邵 菜 菜 、 尚 菜 、 赵 某 因 犯 破坏 计算 机 信息 系统 罪 , 分 别 被 判 
处 有 期 徒刑 五 年 、 三 年 、 二 年 。 


12.3.3 修改 计算 机 信息 系统 应 用 程序 功能 


此 种 类 型 主要 表现 为 犯罪 分 子 为 了 非法 谋取 利益 ,采用 技术 手段 非法 修改 某 个 计算 
机 信息 系统 应 用 程序 的 功能 。 例 如 网 络 游戏 外 挂 , 大 型 机 械 控制 系统 的 GPS 锁定 系 
统 等 。 


自 2014 年 起 , 李 某 在 其 暂 住 地 制作 QQ 飞车 游戏 外 挂 程序 ,并 通过 建立 

的 www. xiaosanwg. net 网 站 上 留 下 的 QQ 群 吸引 QQ 飞车 玩家 购买 ,使 用 

“小 三 外 挂 ?的 QQ 飞车 玩家 能 实现 “引擎 加 速 "“ 无 限 氮 气 ” 等 一 系列 非法 功 

能 。“ 小 三 外 挂 " 已 对 深圳 市 腾讯 计算 机 系统 有 限 公司 的 24 台 服 务 器 端 进行 

案例 了 侵害 。2015 年 3 月 20 日 腾讯 公司 报警 ,3 月 23 日 ,民警 将 李 某 抓获 。 李 某 
因 犯 破坏 计算 机 信息 系统 罪 , 被 判处 有 期 徒刑 七 个 月 。 


12.3.4 制作 传播 计算 机 病毒 等 破坏 性 程序 


此 种 类 型 主要 表现 为 犯罪 团伙 为 了 非法 谋取 利益 ,制作 传播 计算 机 病毒 等 破坏 性 程序 ， 
获取 用 户 计算 机 的 权限 和 个 人 隐私 ,通过 流量 动 持 、 盗 窃 网 游 账 号 ,窃取 网 上 资金 等 方式 非 
法 牟利 。 利 用 病毒 、 恶 意 程序 不 但 可 以 侵害 软件 系统 ,还 可 以 损害 硬件 ,例如 CIH 病毒 ,就 
可 以 破坏 BIOS 系统 。 


2006 年 ,犯罪 嫌疑 人 李 某 编写 了 “能 猫 烧 香 ” 病 毒 ,在 网 络 上 售 与 100 多 
人 ,非法 获 利 人 民 币 10 余万元 。 同 案 李 某 、 雷 茶 利 用 “能 猫 烧香 ”病毒 大 肆 实 
施 破坏 活动 。 后 经 公安 机 关 侦 查 后 被 抓获 。 这 是 我 国 首 例 利用 制作 、 传 播 计 
算 机 病毒 牟利 的 案件 。 
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12.3.5 DNS 网 络 动 持 


此 类 案件 主要 表现 为 犯罪 分 子 利 用 技术 手段 非法 自 改 用 户 电 脑 或 路 由 器 内 的 DNS 设 
置 ,通过 DNS 劫持 方式 ,修改 某 个 特定 域名 的 解析 结果 ,导致 对 该 域名 的 访问 由 原 人 P 地 址 
转 入 到 修改 后 的 指定 了 了 ,其 结果 就 是 用 户 正常 的 访问 请 求 被 劫持 到 另外 一 个 网 络 地 址 上 ， 
通常 是 仿冒 的 钓鱼 网 站 、 挂 马 网 站 或 是 有 访问 流量 需求 的 网 站 ,通过 这 种 方式 达到 骗取 用 户 
相关 资料 、 传 播 木马 病毒 或 是 增加 用 户 访问 流量 的 目的 。 


2013 年 底 至 2014 年 10 月 , 付 某 某 、 黄 某 等 人 租赁 多 台 服务 器 ,使 用 恶意 
代码 修改 互联 网 用 户 路 由 器 的 DNS 设置 ,进而 使 用 户 登 录 2345. com 等 导航 
网 站 时 跳 转 至 其 设置 的 5w. com 导航 网 站 , 付 某 某 、 黄 己 等 人 再 将 获取 的 互联 
网 用 户 流 量 出 售 给 杭州 某 科 技 有 限 公 司 ( 系 5w. com 导航 网 站 所 有 者 ) ,违法 
所 得 合计 人 民 币 754 762. 34 元 。 最 终 , 付 某 某 、 黄 某 因 犯 破坏 计算 机 信息 系 
统 罪 ,被 上 海 市 浦东 新 区 人 民法 院 判 处 有 期 徒刑 三 年 ,缓刑 三 年 。 


12.4 破坏 计算 机 信息 系统 的 特点 


与 传统 犯罪 相 比 ,破坏 计算 机 信息 系统 犯罪 具有 以 下 几 个 特点 。 

1. 智能 性 

破坏 计算 机 信息 系统 犯罪 侵害 的 对 象 是 计算 机 信息 系统 ,客观 上 要 求 犯 罪 主体 必须 是 
具备 相当 的 计算 机 网 络 知识 的 专业 人 士 ,犯罪 分 子 往往 不 仅 懂得 如 何 操作 计算 机 的 指令 和 
数据 ,而 且 还 会 编制 一 定 的 程序 ,最 起 码 也 要 熟练 使 用 黑客 工具 ,解读 或 骗取 他 人 计算 机 的 
口令 密码 ,获取 他 人 计算 机 信息 系统 的 访问 控制 权限 。 相 对 于 其 他 传统 犯罪 ,破坏 计算 机 信 
息 系统 案件 有 着 智能 性 的 特点 。 

2. 跨 区 域 性 

破坏 计算 机 信息 信息 系统 的 侵害 对 象 是 计算 机 信息 系统 的 安全 ,主要 采用 数字 化 的 形 
式 来 完成 。 因 此 ,无 论 何 时 何 地 ,对 于 “黑客 "来 讲 , 只 要 一 台 联 网 电脑 就 可 以 实施 犯罪 。 基 
于 以 上 原因 ,破坏 计算 机 信息 系统 犯罪 并 不 像 传 统 犯 罪 一 样 ,犯罪 者 和 受害 者 需要 同时 在 现 
实 的 空间 位 置 上 ,其 犯罪 行为 地 与 犯罪 结果 地 往往 是 不 同 的 。 也 就 是 说 ,犯罪 嫌疑 人 所 在 
地 、 犯 罪行 为 发 生地 、 网 络 服务 器 所 在 地 以 及 网 络 服务 运营 商 所 在 地 等 可 以 不 在 同一 个 地 
区 ,甚至 可 以 不 在 同一 个 国家 ,超越 了 传统 的 地 域 限制 。 比 如 ,犯罪 分 子 在 北京 ,而 其 挂 马 的 
服务 器 在 上 海 , 受 害 人 则 有 可 能 在 广州 ,这 就 充分 体现 了 网 络 没有 空间 和 时 间 限 制 的 特点 ， 
给 案件 的 侦查 取证 工作 带 来 极 大 难度 。 
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3. 成 本 和 风险 低 

通常 而 言 , 实 施 攻击 破坏 者 只 需 一 台 联 网 电脑 ,利用 相应 的 黑客 工具 以 及 计算 机 病毒 等 
破坏 性 程序 , 即 可 对 任 一 联网 的 计算 机 信息 系统 实施 攻击 破坏 活动 ,不 受 时 间 和 空间 限制 ， 
并 且 由 于 网 络 的 隐蔽 性 和 匿名 性 ,其 犯罪 成 本 和 风险 远 远 低 于 传统 犯罪 。 网 络 犯罪 分 子 利 
用 计算 机 信息 系统 存在 的 技术 漏洞 和 管理 者 安全 防范 意识 不 强 的 管理 漏洞 ,通过 病毒 .木马 
等 黑客 技术 或 者 网 络 欺诈 手段 ,秘密 实施 攻击 破坏 活动 。 犯 罪 分 子 利用 的 木马 和 病毒 ,对 被 
感染 的 计算 机 的 系统 影响 越 来 越 小 ,感染 后 几乎 没有 明显 的 特征 ,木马 或 病毒 在 机 器 中 潜伏 
几 个 月 其 至 几 年 都 有 可 能 不 被 发 现 。 当 受害 者 发 现 计算 机 信息 系统 被 破坏 ,其 至 网 上 资金 
被 盗 时 ,犯罪 分 子 可 能 早 就 毁灭 证 据 , 逃 之 天 天 了 。 同 时 网 络 犯罪 分 子 在 网 络 中 一 般 都 使 用 
虚拟 身份 ,团伙 中 或 各 个 环节 的 犯罪 分 子 之 间 也 未 实际 碰面 . 素 不 相识 ,有 的 甚至 作案 后 即 
不 再 联系 ,客观 上 加 大 了 公安 机 关 侦 查 取证 的 难度 。 

4 人员 呈 低 龄 化 趋势 , 且 具 有 一 定 的 文化 水 平 

破坏 计算 机 信息 系统 犯罪 是 以 计算 机 网 络 知识 以 及 黑客 技术 手段 进行 的 犯罪 活动 , 因 
此 需要 实施 人 员 具 有 相当 的 计算 机 网 络 技 能 ,否则 ,将 无 法 完成 破 击 破坏 过 程 中 的 计算 机 网 
络 操 作 。 而 在 当今 社会 ,能 够 熟练 操作 计算 机 网 络 的 一 般 都 是 年 轻 人 ,在 十 四 到 四 十 岁 之 
间 , 基 本 上 都 接受 过 初中 以 上 的 文化 教育 。 


12.5 破坏 计算 机 信息 系统 案件 的 法 律 约束 


全 国人 大 、 国 务 院 .最 高 人 民法 院 . 最 高 人 民 检 察 院 ` 公 安 部 等 国家 机 关 都 相继 出 台 过 一 
系列 的 法 律 法 规 , 办 法 .通知 等 文件 打击 破坏 计算 机 信息 系统 的 行为 。 主 要 如 下 。 

《中 华人 民 共 和 国 刑法 》; 
最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 
若干 问题 的 解释 (法 释 [2011]19 号 ); 

《中 华人 民 共 和 国治 安 管理 处 罚 法 》; 

《中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 )( 国 务 院 令 第 147 号 ); 

《全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》。 

其 中 的 主要 条 款 如 下 。 


12.5.1 《刑法 》 


《刑法 ) 第 二 百 八 十 六 条 ”违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 ,修改 、 增 加 、 
干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 
果 特 别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 
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故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 
第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 之 一 : 网 络 服务 提供 者 不 履行 法 律 ,行政 法规 规定 的 信息 网 络 安全 管 
理 义 务 ,经 监管 部 门 责令 采取 改正 措施 而 拒 不 改正 ,有 下 列 情形 之 一 的 ,处 三 年 以 下 有 期 徒 
刑 、 拘 役 或 者 管制 ,并 处 或 者 单 处 罚金 : 

(一 ) 致使 违法 信息 大 量 传播 的 ; 

(二 ) 致使 用 户 信息 泄露 ,造成 严重 后 果 的 ; 

(三 ) 致使 刑事 案件 证 据 灭 失 , 情 节 严重 的 ; 

(四 ) 有 其 他 严重 情节 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 前 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 


12.5.2 《最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计算 机 信息 系 
统 安全 刑事 案件 应 用 法 律 兰 干 问题 的 解释 )( 法 释 [2011]19 号 ) 


第 四 条 破坏 计算 机 信息 系统 功能 、 数 据 或 者 应 用 程序 ,具有 下 列 情形 之 一 的 ,应 当 认 定 
为 刑法 第 二 百 八 十 六 条 第 一 款 和 第 二 款 规 定 的 “后 果 严 重 ”: 

(一 ) 造成 十 台 以 上 计算 机 信息 系统 的 主要 软件 或 者 硬件 不 能 正常 运行 的 ; 

(二 ) 对 二 十 台 以 上 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 进行 删除 、 修 改 、 增 加 
操作 的 ; 

(三 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(四 ) 造成 为 一 百 台 以 上 计算 机 信息 系统 提供 域名 解析 、 身 份 认证 、 计 费 等 基础 服务 或 
者 为 一 万 以 上 用 户 提供 服务 的 计算 机 信息 系统 不 能 正常 运行 累计 一 小 时 以 上 的 ; 

(五 ) 造成 其 他 严重 后 果 的 。 

实施 前 款 规定 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 破坏 计算 机 信息 系统 “后 果 特 别 
严重 交 5 

(一 ) 数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (三 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 造成 为 五 百 台 以 上 计算 机 信息 系统 提供 域名 解析 、 身 份 认证 、 计 费 等 基础 服务 或 
者 为 五 万 以 上 用 户 提供 服务 的 计算 机 信息 系统 不 能 正常 运行 累计 一 小 时 以 上 的 ; 

(三 ) 破坏 国家 机 关 或 者 金融 .电信 人、 交通 教育. 医疗、 能 源 等 领域 提供 公共 服务 的 计算 机 信 
息 系统 的 功能 .数据 或 者 应 用 程序 ,致使 生产 .生活 受到 严重 影响 或 者 造成 恶劣 社会 影响 的 ; 

(四 ) 造成 其 他 特别 严重 后 果 的 。 

第 五 条 具有 下 列 情形 之 一 的 程序 ,应 当 认定 为 刑法 第 二 百 八 十 六 条 第 三 款 规定 的 “计算 
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机 病毒 等 破坏 性 程序 ”， 

(一 ) 能 够 通过 网 络 ,存储 介质 文件 等 媒介 ,将 自身 的 部 分 ,全 部 或 者 变种 进行 复制 \ 传 
播 , 并 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 的 ; 

(二 ) 能 够 在 预先 设 定 条 件 下 自动 触发 ,并 破坏 计算 机 系统 功能 数据 或 者 应 用 程序 的 ; 

(三 ) 其 他 专门 设计 用 于 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 的 程序 。 

第 六 条 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,具有 下 列 
情形 之 一 的 ,应 当 认定 为 刑法 第 二 百 八 十 六 条 第 三 款 规定 的 “后 果 严 重 ”: 

(一 ) 制作 、 提 供 、 传 输 第 五 条 第 (一 ) 项 规定 的 程序 ,导致 该 程序 通过 网 络 、 存 储 介 质 、 文 
件 等 媒介 传播 的 ; 

(二 ) 造成 二 十 台 以 上 计算 机 系统 被 植 人 第 五 条 第 (二 ) (三 ) 项 规定 的 程序 的 ; 

(三 ) 提供 计算 机 病毒 等 破坏 性 程序 十 人 次 以 上 的 ; 

(四 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(五 ) 造成 其 他 严重 后 果 的 。 

实施 前 款 规定 行为 ,具有 下 列 情形 之 一 的 ,应 当 认定 为 破坏 计算 机 信息 系统 "后果 特别 
(一 ) 制作 ,提供 ,传输 第 五 条 第 (一 ) 项 规定 的 程序 ,导致 该 程序 通过 网 络 、 存 储 介质 、 文 
件 等 媒介 传播 ,致使 生产 ,生活 受 到 严重 影响 或 者 造成 恶劣 社会 影响 的 ; 

(二 ) 数量 或 者 数额 达到 前 款 第 (二 ) 项 至 第 (四 ) 项 规定 标准 五 倍 以 上 的 ; 

(三 ) 造成 其 他 特别 严重 后 果 的 。 

第 七 条 明知 是 非法 获取 计算 机 信息 系统 数据 犯罪 所 获取 的 数据 ,非法 控制 计算 机 信息 
系统 犯罪 所 获取 的 计算 机 信息 系统 控制 权 ,而 了 予以 转移 ,收购 、 代 为 销售 或 者 以 其 他 方法 捧 
饰 、 隐 瞒 ,违法 所 得 五 千 元 以 上 的 ,应 当 依照 刑法 第 三 百 一 十 二 条 第 一 款 的 规定 ,以 掩饰 、 隐 
螨 犯 罪 所 得 罪 定罪 处 罚 。 

实施 前 款 规 定 行为 ,违法 所 得 五 万 元 以 上 的 ,应 当 认定 为 刑法 第 三 百 一 十 二 条 第 一 款 规 
定 的 “情节 严重 ”。 

单位 实施 第 一 款 规 定 行为 的 ,定罪 量刑 标准 依照 第 一 款 、 第 二 款 的 规定 执行 。 

第 八条 以 单位 名 义 或 者 单位 形式 实施 危害 计算 机 信息 系统 安全 犯罪 .达到 本 解释 规定 
的 定罪 量刑 标准 的 ,应 当 依照 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 的 规定 追究 直接 负责 的 
主管 人 员 和 其 他 直接 责任 人 员 的 刑事 责任 。 


12.6 破坏 计算 机 信息 系统 案件 的 侦查 要 点 


12.6.1 案件 管辖 
由 于 网 络 犯罪 案件 的 特殊 性 ,破坏 计算 机 信息 系统 犯罪 行为 往往 涉及 多 地 ,共同 作案 人 
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往往 也 来 自 不 同居 住地 ,并 且 也 存在 同一 犯罪 嫌疑 人 破坏 多 个 地 区 的 多 个 计算 机 信息 系统 
的 情况 。 依 照 刑 诉 法 和 相关 规定 ,所 涉及 地 域 的 有 关 司 法 机 关 对 这 些 网 络 犯罪 案件 均 有 管 
辖 权 ,因此 在 实际 办 案 中 可 能 造成 有 管辖 权 的 司法 机 关 之 间 的 管辖 冲突 或 者 互相 推 旋 , 从 而 
影响 及 时 缉捕 犯罪 嫌疑 人 、 案 件 起 诉 和 和 审判。 为 解决 这 一 问题 ,《 关 于 办 理 网 络 犯 罪案 件 适 
用 刑事 诉讼 程序 若干 问题 的 意见 》 对 于 网 络 犯罪 案件 的 管辖 作出 了 更 为 明确 具体 的 规定 。 
实践 中 ,破坏 计算 机 信息 系统 犯罪 案件 的 立案 侦查 往往 由 被 侵害 计算 机 信息 系统 或 其 管理 
者 所 在 地 的 公安 机 关 负 责 。 


12.6.2 立案 审查 


根据 案件 管辖 的 相关 规定 ,破坏 计算 机 信息 系统 犯罪 是 公安 机 关 立 案 管辖 的 犯罪 类 型 。 
公安 机 关 受 理 报 案 或 举报 的 破坏 计算 机 信息 系统 线索 后 ,需要 对 相关 报案 材料 及 线索 进行 
审查 ,明确 是 否 存在 违法 犯罪 事实 ,是 否 需 要 追究 刑事 责任 ,并 且 在 自己 的 管辖 范围 内 ,符合 
上 述 要 求 的 案件 ,经 县 级 以 上 公安 机 关 负 责 人 批准 后 可 以 进行 立案 。 立 案 审查 涉及 的 关键 
环节 包括 如 下 几 个 方面 。 

1. 案件 来 源 的 审查 

案件 来 源 一 般 来 自 以 下 四 个 方面 : 

(1) 单位 和 个 人 的 报案 .举报 ; 

(2) 被 害 人 或 其 法 定 代理 人 的 报案 、 控 告 ; 

(3) 犯罪 人 的 自首 ; 

(4) 司法 机 关 自 行 发 现 犯罪 事实 或 者 犯罪 嫌疑 人 。 

破坏 计算 机 信息 系统 案件 的 线索 来 源 可 能 来 自 于 上 述 四 个 方面 ,在 实际 的 侦查 工作 中 ， 
由 于 破坏 计算 机 信息 系统 的 特殊 性 ,公安 机 关 结 合 受害 人 或 单位 的 报案 情况 ,通过 专门 勘查 
取证 工作 或 者 网 络 巡 查 发 现 的 线索 也 是 破坏 计算 机 信息 系统 案件 线索 的 重要 来 源 之 一 。 

2. 违法 犯罪 事实 的 审查 

违法 犯罪 事实 的 审查 应 该 重点 从 线索 涉及 的 计算 机 信息 系统 、 计 算 机 病毒 等 破坏 性 程 
序 样本 等 方面 分 别 审查 。 

关于 破坏 计算 机 信息 系统 案件 的 审查 ,应 该 注意 甄别 被 害 人 所 指 的 计算 机 信息 系统 是 
和 否 被 人 为 故意 采取 技术 手段 破坏 ,还 是 计算 机 信息 系统 硬件 损坏 .自身 软件 BUG 等 客观 非 
人 为 原因 造成 的 。 初 步 查 明 ,计算 机 信息 系统 确 系 人 为 故意 采取 技术 手段 进行 破坏 的 ,应 立 
即 对 计算 机 相关 电子 数据 证 据 进行 保全 分 析 工 作 ,梳理 相关 登录 操作 日 志 信 息 。 

关于 计算 机 病毒 等 破坏 性 程序 的 审查 ,应 该 提取 固定 计算 机 病毒 等 破坏 程序 ,并 采取 专 
门 技术 进行 检验 鉴定 ,检验 其 具体 的 程序 功能 ,以 及 控制 端 或 回 传 信息 的 网 络 地 址 等 内 容 。 

如 被 恶意 敲诈 勒索 的 ,应 围绕 恶意 敲诈 勒索 对 象 所 留 的 通讯 联络 方式 .支付 方式 开展 侦 
查 取证 工作 。 对 于 嫌疑 人 使 用 的 资金 账号 .应 该 按照 初 查 的 要 求 ,审查 核实 资金 实际 流转 情 
况 , 对 现实 的 资金 使 用 情况 与 敲诈 勒索 的 相关 情况 进行 印证 。 如 果 资 金 账 号 的 资金 流向 、 数 
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额 与 被 害 人 或 单位 汇款 的 情况 吻合 ,可 以 判明 此 资金 账号 为 犯罪 嫌疑 人 作案 使 用 ,资金 记录 
可 以 作为 涉案 金额 的 证 据 材 料 。 

3. 是 否 追究 刑事 责任 的 审查 

破坏 计算 机 信息 系统 罪 一 般 表现 为 三 种 行为 方式 : 破坏 计算 机 信息 系统 功能 、 破 坏 计 
算 机 信息 系统 数据 或 应 用 程序 、 制 作 传 播 计算 机 病毒 等 破坏 性 程序 ,并 且 后 果 严 重 。2011 
年 发 布 的 (最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 
法 律 若干 问题 的 解释 ), 对 “计算 机 病毒 等 破坏 性 程序 ” “计算 机 系统 "和 “计算 机 信息 系统 ” 
的 概念 分 别 做 了 进一步 的 解释 ,对 破坏 计算 机 信息 系统 犯罪 的 “后 果 严 重 *“ 后 果 特 别 严重 ” 
的 情形 做 了 详细 规定 ,在 案件 审查 阶段 要 注意 被 破坏 的 计算 机 信息 系统 的 数量 、 计 算 机 信息 
系统 用 户 数 量 、 违 法 所 得 数额 .经济 损失 数额 等 情况 。 

如 果 审 查 中 发 现 达 不 到 刑事 案件 立案 标准 的 , 则 可 以 依据 (治安 管理 处 罚 法 》 相 应 条 款 
进行 查处 。 


12.6.3 侦查 措施 和 流程 


破坏 计算 机 信息 系统 案件 的 侦查 应 该 查 明 嫌 疑 人 实施 网 络 攻击 破坏 活动 的 相关 主要 犯 
罪 事实 ,还 要 收集 证 明 计算 机 信息 系统 被 破坏 情况 的 相关 证 据 。 在 查 清 主 要 犯罪 事实 方面 
应 该 查 明 嫌疑 人 组 织 网 络 攻击 破坏 活动 是 如 何 开展 的 ,涉及 攻击 破坏 方式 ,造成 的 后 果 、 经 
济 损失 和 违法 所 得 数额 认定 .恶意 程序 功能 检验 鉴定 等 方面 。 网 络 案件 侦查 工作 可 以 围绕 
网 上 、 网 下 侦查 以 及 信息 流 的 侦查 ,资金 流 的 侦查 几 个 方面 开展 。 

不 同类 型 的 破坏 计算 机 信息 系统 案件 的 侦查 措施 是 不 同 的 ,要 从 以 下 几 个 方面 着 手 。 

1. 攻击 破坏 的 方式 

破坏 计算 机 信息 系统 的 犯罪 行为 有 可 能 来 自 外 部 ,也 有 可 能 来 自 内 部 。 因 此 在 侦查 初 
期 ,不 能 仅仅 针对 外 部 的 数据 进行 分 析 , 还 要 从 管理 权限 着 手 , 判 断 能 够 物理 接触 计算 机 信 
息 系统 以 及 具有 远程 操作 权限 的 人 员 是 否 有 作案 条 件 、 作 案 动机 。 在 排除 内 部 作案 的 可 能 
性 后 ,可 以 把 重点 放 在 外 部 破坏 上 。 外 部 破坏 的 方式 一 般 有 非法 侵入 破坏 计算 机 信息 系统 
数据 或 应 用 程序 以 及 DDoS 网 络 攻击 等 。 

2. 线索 的 侦查 

破坏 计算 机 信息 系统 的 行为 不 同 , 也 很 有 可 能 是 多 种 行为 交织 在 一 起 ,保存 的 数据 多 而 
杂乱 。 侦 查 人 员 容 易 面 对 这 些 数 据 产生 迷惑 ,而 且 算 改 数 据 、 破 坏 功能 和 制作 ,传播 病毒 的 
分 析 方 法 截然 不 同 。 侦 查 人 员 应 当 从 后 果 入 手 , 逐 步 回 溯 行 为 。 通 过 系统 日 志 、 数 据 库 、 程 
序 和 病毒 本 身 以 及 保存 的 数据 来 逐一 侦查 ,分析 判 断 。 必 要 时 可 以 邀请 信息 系统 相关 的 运 
维 人 员 、 开 发 人 员 协 助 分 析 , 对 协助 分 析 人 员 要 排除 其 涉案 嫌疑 ,相关 案情 要 对 无 关 人 员 

对 于 内 部 作案 ,应 当 从 权限 控制 人 手 。 而 对 于 非 接触 式 的 DDoS, 可 以 从 利益 冲突 、 商 
业 竞争 .敲诈 勒索 情形 .攻击 溯源 等 角度 和 人手 进行 分 析 。 
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上 述 的 分 析 , 都 需要 及 时 固定 电子 数据 证 据 ,因为 电子 数据 瞬息 万 变 ,随时 可 能 灭失 。 
破坏 计算 机 信息 系统 的 证 据 需 要 “前 置 化 ”, 发 现 相 关 电 子 数据 时 要 立即 固定 ,不 能 等 到 确定 
嫌疑 人 后 才 固 定 。 只 有 证 据 充分 有 效 , 才 能 为 诉讼 提供 有 利 条 件 。 


12.6.4 排查 和 抓 捕 


通过 对 线索 的 摸排 ,确定 重点 怀疑 对 象 ,结合 实地 走访 ` 证 人 证 言 , 甚 至 通过 外 围 信息 逐 
步 缩小 范围 ,确定 嫌疑 人 。 注 意 ,嫌疑 人 也 许 不 是 单 人 ,可 能 是 一 个 团伙 ,其 至 是 一 个 单位 。 
在 确定 嫌疑 人 后 ,可 以 伺机 抓 撒 。 抓 捕 时 要 注意 避免 售 动 团伙 内 的 其 他 犯罪 嫌疑 人 ,有 条 件 
的 可 以 多 地 同时 实施 统一 抓 捕 , 没 有 条 件 的 可 以 优先 抓 捕 主要 犯罪 嫌疑 人 。 


12.6.5 询问 和 讯问 


破坏 计算 机 信息 系统 的 特点 是 受害 者 可 能 不 止 一 个 ,同时 还 可 能 有 知情 者 ,因此 询问 笔 
录 要 做 到 充分 翔实 ,尤其 是 危害 后 果 。 对 于 犯罪 嫌疑 人 的 讯问 ,应 当 从 其 犯罪 动机 、 网 络 攻 
击破 坏 方式 .是 否 受 人 指使 ,要 与 已 掌握 的 资金 情况 .电子 数据 证 据 情况 .计算 机 信息 系统 被 
破坏 情况 以 及 相关 关键 时 间 节 点 相互 印证 ,按照 在 整个 破坏 链 上 的 角色 ,主要 围绕 其 上 下 级 
关系 的 关联 、 违 法 犯罪 行为 中 的 角色 分 工 等 方面 ,形成 整个 破坏 行为 的 证 据 链 条 。 


12.6.6 现场 勘查 


破坏 计算 机 信息 系统 的 犯罪 现场 多 为 存储 在 计算 机 信息 系统 上 的 电子 数据 ,很 容易 灭 
失 , 因 此 现场 勘查 及 时 固定 相关 电子 数据 证 据 非常 重要 。 现 场 勘查 要 注意 以 下 要 点 : 

对 被 破坏 的 计算 机 信息 系统 的 数据 要 仔细 勘 验 。 不 但 要 针对 被 破坏 的 数据 本 身 ,更 要 
针对 破坏 者 留 下 的 踪迹 和 工具 进行 勘 验 。 同 时 违法 犯罪 行为 相关 的 其 他 计算 机 设备 ,也 要 
注意 回溯 ,例如 DDoS 行为 ,被 破坏 的 计算 机 信息 系统 不 会 留 有 重要 数据 ,而 发 起 DDoS 攻 
击 的 计算 机 设备 (可 能 为 “肉鸡 ”) 在 行为 人 的 指令 下 进行 攻击 ,从 “肉鸡 "上 提取 固定 木马 , 逐 
级 追踪 幕后 组 织 攻击 者 也 是 勘 验 重点 。 特 别 是 有 的 计算 机 信息 系统 往往 在 一 定时 间 内 不 止 
受到 一 次 攻击 破坏 ,要 结合 计算 机 信息 系统 被 破坏 的 时 间 节 点 和 原因 细致 取证 分 析 , 找 到 真 
正 造成 犯罪 后 果 的 攻击 破坏 行为 。 对 DDoS 网 络 攻 击 案件 现场 勘 验 时 ,有 条 件 的 ,可 以 在 
DDoS 攻击 时 ,用 网 络 抓 包 软件 抓 取 一 段 时 间 的 网 络 数据 包 , 详 细 分 析 数 据 报 文 。 

实施 破坏 行为 的 计算 机 信息 系统 着 重 从 嫌疑 人 的 通讯 .攻击 日 志 来 刻画 破坏 行为 。 由 
于 嫌疑 人 的 设备 使 用 的 时 间 一 般 较 长 ,保存 的 工具 很 多 ,因此 分 析 起 来 要 注意 客观 细致 ,全 
面 提取 固定 犯罪 行为 直接 相关 的 工具 ,不 能 放 过 任何 蛛丝马迹 。 


12.6.7 侦查 终结 


破坏 计算 机 信息 系统 的 侦查 过 程 有 可 能 持续 时 间 较 长 ,也 不 是 所 有 涉案 人 员 能 够 同时 
到 案 。 因 此 侦查 终结 不 会 是 一 个 点 ,而 会 是 一 个 阶段 。 根 据 案件 总 体 侦办 进展 要 做 到 随 侦 
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随 办 。 

对 于 犯罪 事实 清楚 ,证 据 确实 、 充 分 ,法 律 手续 完备 ,依法 应 当 追 究 刑 事 责任 的 案件 ,应 
当 制 作 (起 诉 意见 书 ), 经 县 级 以 上 公安 机 关 负 责 人 批准 后 ,连同 案卷 材料 ,证据 , 一 并 移交 同 
级 人 民 检 察 院 审 查 决 定 。 


12.7 破坏 计算 机 信息 系统 案件 的 证 据 要 点 


破坏 计算 机 信息 系统 案件 的 证 据 形式 与 一 般 刑 事 案 件 相同 。 由 于 大 多 数 嫌疑 人 都 是 
通过 计算 机 网 络 实施 破坏 行为 ,有 可 能 是 跨 地 域 作案 ,详细 情况 不 为 人 知 ,提取 固定 的 电 
子 数据 证 据 更 加 具有 客观 性 ,因此 在 破坏 计算 机 信息 系统 的 案件 中 ,要 重点 关注 电子 数 
据 证 据 。 

提取 固定 电子 数据 ,应 当 注意 形成 完整 的 证 据 链 。 这 种 证 据 链 并 非 是 破坏 者 和 受害 者 
两 端的 数据 集合 ,还 应 涉及 破坏 行为 相关 的 外 围 设备 中 的 数据 ,包括 关系 人 、 相 关 设备 的 数 
据 。 例 如 制作 、 传 播 计算 机 病毒 ,需要 在 网 络 上 了 解 相关 程序 代码 .制作 出 来 后 还 要 寻找 买 
家 ,实施 破坏 行为 要 进行 踩点 。 这 其 中 可 能 会 涉及 多 个 嫌疑 人 、 多 个 电子 设备 。 这 些 人 在 破 
坏 计 算 机 信息 系统 案件 中 分 工 负责 各 自 的 犯罪 环节 ,对 其 电子 数据 证 据 要 充分 完整 地 获取 。 
一 般 要 重点 围绕 以 下 几 个 方面 开展 工作 : 

(1) 涉案 的 病毒 ,木马 等 破坏 性 程序 文件 ; 

(2) 涉案 的 被 破坏 的 计算 机 信息 系统 ; 

(3) 犯罪 嫌疑 人 讯问 笔录 ; 

(4) 犯罪 嫌疑 人 电脑 .手机 中 的 涉案 电子 数据 ; 

(5) 经 济 损失 的 认定 相关 证 据 ; 

(6) 违法 所 得 数额 的 认定 及 相关 证 明 材 料 。 

要 重点 关注 能 够 证 实 * 严 重 后 果 "* 证 据 的 保全 。 


12.8 破坏 计算 机 信息 系统 案例 剖析 


2008 年 6 月 18 日 , 某 网 吧 业 主 到 某 市 公安 局 网 安 部 门 报案 称 , 其 经 营 的 
网 吧 从 6 月 13 日 下 午 15 时 起 出 现 网 络 掉 线 外 网 流量 显示 100% 被 占用 等 
现象 ,导致 网 吧 无 法 正常 营业 。 初 步 勤 验 和 分 析 , 确 认为 黑客 恶意 攻击 , 且 攻 
击 流量 达到 6Gbps( 如 图 12.1 和 图 12.2 所 示 ) ,攻击 的 IP 地 址 来 自 全 国 多 个 
省 市 ,分 析 为 黑客 组 织 僵尸 网 络 形成 的 DDoS 攻击。 
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nto Custoner (Mops) 


rhops) Into 


图 12.1 受到 攻击 的 网 吧 流 量 示意 图 


Download Excel-XML 


www UDP/80 < 6,608,34M 6,854,82K 
加 WWW TcP/a0 0M 311.95M 
加 UDP/15000 。 UDP/15000 230.93M 199.51M 
加 UDP/3000 UDP/3000 227.06M 11.15M 
吕 WEBCACHE TCP/8080 7 121.58M 162.51M 


图 12.2 受到 攻击 的 网 吧 的 协议 和 流量 总 图 


2， 侦 查 过 程 
1) 追踪 攻击 来 源 
办 案 民警 在 受害 网 吧 出 口交 换 机 上 嗅 探 数据 包 , 获取 了 部 分 攻击 来 源 IP 地 址 (如 
图 12. 3 所 示 ), 分 析 认 为 这 些 IP 地 址 的 电脑 系 被 同一 黑客 所 控制 ,于 是 民警 从 中 选取 了 位 
于 安徽 淮南 ,六 安 的 两 个 IP 地 址 分 别 开 展 调查 工作 。 
(Gownload Excel-xML] 平均 | 目前 | 最 大 从 | 使 用 量 


流出 子 网 络 总 计 


四 60,171.58,162 702,21M 1,633.96K 702.71M 
回 一 220,178,219,86 623,37M 17.51M 524,98M 
回 = 220.178.213.10 553.25M 22.04M 553.77M 
口 轩 直 220.178.213.138 473.69M 9,303,15K 474,27M 
回 一 60,171.58,165 429.69M 560,.36K 429,60M 
回 和 60.175.113.134 355.80M 7,807.86K 359.98M 
回 = 61.191.175.108 314.89M 71.14K 314.95M 
回 61,191.175.110 179,63M 204.19K 179.73M 


图 12.3 攻击 的 他 地 址 信息 


2) 勘 验 发 送 攻击 电脑 
办 案 民 警 分 别 赶赴 淮南 和 六 安 ,找到 了 发 送 攻击 包 的 两 台电 脑 ,并 从 两 台电 脑 中 找 出 了 
相同 的 可 疑 程序 1270. exe, 通 过 对 该 程序 的 勘 验 和 检测 得 出 以 下 结论 : 一 是 1270. exe 系 
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Delphi 编写 ,采用 多 层 加 密 加 壳 ,普通 杀毒 软件 无 法 查 出 ; 二 是 其 主要 功能 是 发 送 畸 形 数 据 
包 、 修 改 上 网 主页 .定时 向 www. info3344. cn(IP: 202. 102. 201. 82) 服 务 器 上 报信 息 并 根据 
该 服务 器 上 的 设置 下 载 指定 程序 ,符合 木马 的 基本 特征 (如 图 12.4 所 示 ) 。 


Ek Vem WM Tean Wndows pap 


Untitled) — Wireshark -5 x] 
Dl Bt Dm ge optee Mmalyre tatintics Irie 


天 让 *%B 有 BH.*，.oT 国 国 &QaQa 昌 | 三 区 加 加 
Rilter: | ™ bepression.. Glew Brply 


Destinetien 
517 


Gigabyte_3 
Harbourh 


ES Ww TTA ET 
Type: A (Hast addres5] 
Class: IN (Ox0001) 


29 38 43 ee Se Ol 00 00 


ry Bone [ins ey name), IT bytes FD 90 ND Dope Tr 


5 区 和 3yrinornaeolt sets Proeess mmiter 


A Vou verson of waa Tooks s ou of date. 


图 12.4 利用 wireshark 软件 抓 包 分 析 木 马 


3) 勘 验 服务 器 

办 案 民 警 立即 对 该 木马 的 控制 服务 器 www. info3344. cn(IP: 202. 102. 201. 82) 进行 勘 
验 ,发 现 该 服务 器 中 存在 大 量 类 似 1270. exe 的 编号 程序 ,其 功能 与 1270. exe 完全 相同 ,并 
从 系统 日 志 中 获取 了 黑客 已 控制 的 倪 偶 机 IP 地 址 等 基本 情况 (如 图 12.5 和 图 12. 6 所 示 ) 。 

4) 锁定 犯罪 嫌疑 人 

办 案 民 警 立 即 调 取 该 服务 器 的 实际 租用 人 情况 .并 结合 该 服务 器 的 管理 员 日 志 信息 ,最 
终 锁定 犯罪 嫌疑 人 系 江 苏 省 扬州 江都 市 周 某 、 曹 某 二 人 ,并 于 同年 7 月 20 日 将 二 人 成 功 
抓获 。 

公安 机 关 最 终 查 明 犯 罪 嫌 疑 人 周 某 、 曹 某 等 人 利用 周 某 编写 的 恶意 程序 在 互联 网 上 组 
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* 回 ET EEE3 

多 117.23.73 28/Way/2008 03 .38 45 TI 
S117.23.73. 26/May/2008 03.38:40 yec99. dl 
名 117.23.73 26/MNay/2008 03.37.38 7ec99 dl 
124.67,25. 26/Nay/2008 03:37-24 7ec99 .本 1 
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图 12.6 倪 偶 机 上 线 并 下 载 指定 程序 


建 僵尸 网 络 , 截 至 犯罪 嫌疑 人 被 抓获 时 , 受 控 电脑 已 达 700 多 万 台 。 曾 有 多 达 54 083 649 台 
计算 机 被 植 人 过 其 制作 的 破坏 性 程序 ,犯罪 嫌疑 人 通过 强制 受 控 用 户 安装 其 他 盗号 木马 、 广 
告 插件 、 攻 击 软件 等 非法 牟利 近 百 万 元 ,并 多 次 组 织 实施 网 络 攻 击 。 公 诉 机 关 认 为 周 某 、 曹 
某 某 二 人 采取 破坏 计算 机 信息 系统 的 方式 牟利 ,构成 破坏 计算 机 信息 系统 罪 。 法 院 认为 事 
实 清楚 ,判处 周 某 有 期 徒刑 1 年 . 曹 某 有 期 徒刑 6 个 月 。 
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12.9 本 章 小 结 


本 章 从 破坏 计算 机 信息 系统 的 概念 着 手 , 详 细 讲 解 了 破坏 计算 机 信息 系统 的 特点 、 形 
式 、 侦 查 \ 证 据 和 诉讼 要 点 。 并 与 非法 侵入 和 控制 计算 机 信息 系统 进行 了 对 比 。 在 对 于 破坏 
计算 机 信息 系统 犯罪 的 侦查 中 ,应 当 树立 证 据 意识 ,善于 挖掘 线索 ,侦查 前 置 . 证 据 前 置 , 方 
能 迅速 回溯 ,采取 适合 网 络 犯罪 的 快速 打击 方式 来 遏制 犯罪 。 


思 考 题 


. 简 述 破坏 计算 机 信息 系统 的 概念 。 

. 简 述 破坏 计算 机 信息 系统 案件 侦办 要 点 。 

. 破坏 计算 机 信息 系统 案件 侦查 扩 线 的 主要 环节 有 哪些 ? 

. 破坏 计算 机 信息 系统 案件 典型 类 型 有 哪些 ? 

. 简 述 破坏 计算 机 信息 系统 案件 的 主要 证 据 类 型 以 及 通过 哪些 渠道 获取 。 
. 破坏 计算 机 信息 系统 案件 如 何 认定 后 果 及 严重 性 ? 


-| 
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本 章 学 习 目标 

。 网 络 诈骗 的 概念 

。 网 络 诈骗 的 犯罪 构成 

。 常见 网 络 诈骗 的 特点 和 类 型 

网 络 诈骗 和 电信 诈骗 .网络 和 盗窃 的 区 别 
。 网 络 诈 骗 案件 的 法 律 约束 

。 网 络 诈 骗 案 件 的 侦查 要 点 

。 网 络 诈骗 案件 的 证 据 要 点 

。 网 络 诈骗 案例 剖析 


13.1 网 络 诈骗 的 概念 


在 我 国 刑法 中 并 没有 “网 络 诈骗 "的 单独 定义 。 我 国 (刑法 ) 第 二 百 六 十 六 条 规定 ,诈骗 
罪 是 指 以 非法 占有 为 目的 ,用 虚构 事实 或 者 隐瞒 真相 的 方法 ,骗取 数额 较 大 的 公私 财物 的 行 
为 。 没 有 规定 诈骗 的 具体 途径 和 方法 ,但 是 (刑法 ) 第 二 百 八 十 七 条 规定 ,利用 计算 机 实施 金 
融 诈 骗 .盗窃 、 贪 污 .挪用 公款 、 穷 取 国家 秘密 或 者 其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 
网 络 诈骗 是 传统 诈骗 犯罪 的 一 种 实施 方式 ,以 网 络 为 媒介 或 工具 ,利用 互联 网 实施 诈骗 或 者 
主要 犯罪 行为 发 生 在 互联 网 上 ,通过 虚构 事实 或 者 隐瞒 真相 达到 骗取 财物 的 目的 ,网 络 诈骗 
犯罪 与 普通 诈骗 犯罪 在 犯罪 的 构成 要 件 上 并 无 区 别 。 

网 络 诈骗 犯罪 是 传统 诈骗 犯罪 的 变形 ,其 犯罪 特征 并 没有 本 质变 化 ,还 是 要 在 我 国 ( 刑 
法 ) 对 于 传统 诈骗 罪 定义 的 基础 上 研究 。 据 此 ,网 络 诈骗 犯罪 可 以 定义 为 : 以 非法 占用 为 目 
的 ,利用 互联 网 实施 的 ,或 者 犯罪 的 主要 行为 .环节 发 生 在 互联 网 上 的 ,用 虚构 事实 或 者 隐瞒 
真相 的 方法 ,骗取 数额 较 大 的 公私 财物 的 行为 。 

值得 注意 的 是 ,有 些 诈骗 活动 中 的 通讯 联系 等 过 程 虽然 也 利用 互联 网 ,但 只 要 诈骗 
犯罪 的 客观 行为 或 者 主要 环节 还 是 通过 传统 方法 来 实施 的 ,就 不 能 纳入 网 络 诈骗 的 
范畴 。 
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13.2 网 络 诈骗 的 犯罪 构成 


13.2.1 犯罪 主体 


网 络 诈骗 犯罪 的 主体 一 般 是 自然 人 。 凡 达到 法 定 刑事 责任 年 龄 .具有 刑事 责任 能 力 的 
自然 人 均 能 构成 本 罪 。 随 着 互联 网 的 普及 ,网 络 诈骗 犯罪 有 低龄 化 的 趋势 。 


13.2.2 犯罪 客体 


网 络 诈骗 犯罪 的 客体 是 公私 财物 的 所 有 权 。 在 网 络 空间 ,公私 财物 有 可 能 以 数字 化 形 
态 存 在 ,比如 游戏 充值 卡 、 手 机 充值 卡 等 。 


13.2.3 犯罪 的 主观 要 件 
网 络 诈骗 犯罪 的 主观 要 件 表现 为 直接 故意 。 
13.2.4 犯罪 的 客观 要 件 


网 络 诈骗 在 客观 上 表现 为 使 用 欺诈 方法 骗取 数额 较 大 的 公私 财物 ,客观 要 件 主 要 有 以 
于 三 方面 : 

一 是 行为 人 利用 互联 网 络 实施 了 "虚构 事实 、 隐 有 瞒 真 相 ” 的 行为 。 如 冒 用 网 络 身份 ( 邮 
箱 .通讯 工具 等 ) ,或 者 利用 互联 网 虚构 虚假 身份 .事件 等 。 

二 是 行为 人 实施 “虚构 事实 .隐瞒 真相 ?的 行为 ,是 行为 人 加 以 实施 并 希望 使 被 害 人 产生 
错误 认识 , 且 基 于 此 种 认识 作出 行为 人 所 希望 的 财产 处 分 。 财 产 的 处 分 人 并 不 要 求 一 定 是 
财物 的 所 有 人 或 占有 人 ,也 可 以 是 具有 处 分 财产 的 权限 或 者 地 位 的 人 。 

三 是 被 害 人 处 分 财产 后 ,行为 人 便 获 得 财产 ,从 而 使 被 害 人 的 财产 受到 损害 。 

根据 (刑法 ) 第 二 百 六 十 六 条 的 规定 ,诈骗 公私 财物 数额 较 大 的 , 才 构 成 犯罪 。2011 年 4 
月 8 日 起 施行 的 (最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 诈骗 刑事 案件 具体 应 用 法 律 若干 
问题 的 解释 (法 释 L2011]7 号 ) 第 一 条 规定 : 诈骗 公私 财物 价值 三 千 元 至 一 万 元 以 上 ,三 万 
元 至 十 万 元 以 上 、 五 十 万 元 以 上 的 ,应 当 分 别 认定 为 刑法 第 二 百 六 十 六 条 规定 的 “数额 较 大 ” 
“数额 巨大 ”数额 特别 巨大 ”。 实 践 中 ,各 省 依据 本 行政 区 域内 的 经 济 发 展 水 平和 情况 执行 
的 立案 和 追诉 标准 并 不 完全 相同 。 具 体 的 立案 和 追诉 标准 要 依据 各 省 、 自 治 区 、 直 辖 市 高 级 
人 民法 院 、 人 民 检 察 院 结 合 本 地 区 经 济 社会 发 展 状况 ,在 该 款 规 定 的 数额 幅度 内 ,共同 研究 
确定 本 地 区 执行 的 具体 数额 标准 而 执行 。 

诈骗 未 遂 , 情 节 严 重 的 ,也 应 当 定罪 并 依法 处 罚 。 鉴 于 我 国 目 前 网 络 诈骗 .电信 诈骗 形 
势 严 峻 ,最 高 人 民法 院 、 最 高 人 民 检 察 院 关于 办 理 诈 骗 刑事 案件 具体 应 用 法 律 若干 问题 的 
解释 法 释 L2011]7 号 ) 司 法 解释 第 五 条 对 利用 发 送 短信 人、 拨打 电话 、 互 联网 等 电信 技术 寻 


过 
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段 对 不 特定 多 数 人 实施 诈骗 ,诈骗 数额 难以 查证 的 诈骗 未 遂 的 情况 进行 了 枚 举 : 发 送 诈骗 
信息 五 千 条 以 上 的 、 拨 打 诈 骗 电话 五 百人 次 以 上 的 、 诈 骗 手段 恶劣 .危害 严重 的 ,应 当 认 定 为 
刑法 第 二 百 六 十 六 条 规定 的 “其 他 严重 情节 ”, 以 诈骗 罪 (未 遂 ) 定 罪 处 罚 。 


13.3 网络 诈骗 的 特点 


根据 警方 的 多 口径 统计 ,2015 年 网 络 诈骗 活动 造成 的 损失 金额 高 达 1160 亿 元 人 民 币 ， 
网 络 诈骗 犯罪 危害 后 果 巨 大 。 例 如 2015 年 12 月 11 日 , 宾 阳 籍 犯 罪 嫌疑 人 冒充 公司 老板 ， 
命令 某 公 司 财务 总 监 向 其 指定 账号 转移 支付 了 人 民 币 3505 万 元 ,是 目前 最 高 数额 的 网 络 诈 
骗 危害 结果 。 

当前 ,我国 大 陆 境 内 的 网 络 诈骗 犯罪 活动 的 主要 有 以 下 特点 。 

1. 网 络 诈骗 犯罪 呈 空 间 虚 拟 化 .行为 隐蔽 化 

网 络 诈骗 并 不 像 传统 诈骗 有 具体 的 犯罪 现场 ,犯罪 行为 地 和 结果 地 也 不 一 致 ,行为 人 与 
受害 人 无 需 见面 ,一 般 只 通过 网 上 聊天 、 电 子 邮 件 等 方式 进行 联系 ,就 能 在 虚拟 空间 中 完成 
犯罪 。 犯 罪 嫌 疑 人 在 作案 时 常常 刻意 用 虚构 事实 、 隐 瞒 身份 ,加 上 各 种 代理 、 匿 名 服务 ,使 得 
犯罪 主体 的 真实 身份 深度 隐藏 ,从 而 难以 确定 嫌疑 人 所 在 地 。 同 时 , 行 骗 人 往往 还 利用 假 身 
份 证 办 理 银行 卡 、 异 地 异 人 取款 、 电 话 “ 黑 卡 ” 等 手段 隐藏 ,得 手 后 立即 销毁 网 上 网 下 证 据 , 使 
得 隐蔽 程度 更 高 ,导致 网 络 诈骗 犯罪 急速 上 升 ,打击 难度 也 越 来 越 大 。 

2. 网 络 诈骗 犯罪 网 络 呈 低龄 化 、 低 文化 .区 域 化 

网 络 诈骗 的 犯罪 嫌疑 人 作案 时 年 龄 均 不 大 ,文化 程度 较 低 , 且 作案 人 籍贯 或 活动 区 域 呈 
现 明显 的 地 域 特点 ,主要 有 福建 省 的 泉州 .漳州 .厦门 地 区 ,广西 南宁 市 宾 阳 县 ,海南 省 侨 州 
市 ,湖南 省 类 底 市 等 。 这 些 地 区 因 网 络 诈骗 犯罪 行为 高 发 手段 相对 固定 而 成 为 网 络 诈骗 的 
高 危 地 区 。 犯 罪 嫌疑 人 作案 时 ,呈现 家 族 化 、 集 团 化 发 展 趋势 。 需 要 说 明 的 是 ,网 络 诈 骗 的 
地 域 特征 明显 ,不 意味 着 某 种 作案 手法 只 有 高 危 地 区 、 高 危 人 群 才 会 实施 ,而 是 该 类 型 的 诈 
骗 案 件 呈 现 以 某 一 高 危 地 区 人 员 实 施 较 多 的 特征 。 

3. 网 络 诈骗 犯罪 链条 产业 化 

由 于 我 国 网 络 诈骗 犯罪 呈现 出 地 域 产 业 化 特点 ,在 这 些 高 危 地 区 往往 围绕 某 种 诈 驴 手 
法 形成 了 上 下 游 产 业 式 , 且 逐渐 形成 了 一 条 成 熟 完整 的 地 下 产业 链 发 展 。 比 如 冒充 亲友 
QQ 诈骗 犯罪 团伙 集中 在 广西 宾 阳 县 。 以 该 诈骗 手法 为 例 , 在 宾 阳 地 区 ,盗号 "木马 ”诈骗 
“剧本 ”作案 用 银行 卡 、 第 三 方 平台 * 洗 钱 ” ,跑腿 取款 等 流程 都 形成 了 专业 分 工 ,为 直接 实施 
诈骗 的 犯罪 嫌疑 人 提供 “一 条 龙 ” 服 务 。 

4. 诈骗 行为 手法 多 样 化 ,更 新 换代 速度 快 

网 络 诈骗 手法 多 样 , 且 不 断 更 新 换代 ,新 型 诈骗 手法 层出不穷 。 近 十 年 是 互联 网 高 速 发 
展 的 十 年 ,也 是 网 络 诈骗 手法 不 断 翻 新 的 十 年 。 以 冒充 QQ 好 友 诈 骗 为 例 ,2008 年 前 后 ,该 
手法 只 是 通过 木马 资 取 QQ 号 ,要 求 其 好 友 代为 充 话费 、 游 戏 点 卡 ; 到 2010 年 前 后 ,逐渐 进 
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化 为 加 QQ 好 友 与 对 方 视频 聊天 并 截取 视频 ,然后 发 送 捆绑 有 木马 病毒 的 文件 .图 片 给 对 方 
并 资 取 QQ 号码、 密码 ,进而 登录 盗 取 的 QQ 号 骗 其 好 友 , 并 播放 之 前 截取 的 视频 迷惑 对 方 ， 
以 各 种 理由 要 求 对 方 打 款 的 QQ 视频 诈骗 ; 2013 年 ,视频 诈骗 的 对 象 转 为 针对 留学 生 家 
人 ; 2014 年 ,犯罪 嫌疑 人 盗 取 企业 财务 人 员 的 QQ, 并 将 自己 新 注册 的 QQ 号 码 伪装 成 公司 
“老总 "QQ( 头 像 . 昵 称 等 资料 改 成 与 老板 一 模 一 样 的 QQ) ,并 加 入 财务 人 员 的 QQ 好 友 列 
表 中 ,再 以 该 公司 “老总 ”的 身份 要 求 财务 人 员 向 指定 银行 账户 汇款 ,达到 诈骗 目的 ; 2014 
年 末 , 冒 充 QQ 好 友 进 行 诈骗 的 犯罪 手法 又 演化 成 利用 “手机 拦截 "木马 病毒 获取 安 卓 操 作 
系统 智能 手机 的 支付 权限 ,并 在 拦截 银行 短信 后 实施 盗窃 或 者 冒充 QQ 、 微 信 好 友 进 行 
诈骗 。 

5. 诈骗 高 危 人 群 犯 罪 手 法 多 元 化 、 交 叉 化 趋势 明显 

虽然 我 国 网 络 诈骗 犯罪 呈现 明显 的 地 域 特 点 , 某 一 种 网 络 诈骗 犯罪 的 手法 相对 在 某 一 
地 区 较为 集中 和 活跃 ,但 近年 来 诈骗 犯罪 高 危 人 群 诈骗 手法 交叉 趋势 十 分 明显 ,如 传统 从 事 
QQ 好 友 诈 骗 的 广西 宾 阳 籍 犯罪 嫌疑 人 也 开始 从 事 虚 假 网 站 诈骗 、 积 分 兑换 诈骗 活动 。 此 
外 ,从 各 地 破获 的 案件 看 , 数 个 高 危 籍 贯 的 犯罪 嫌疑 人 相互 串联 、 勾 结 从 事 犯 罪 活动 的 也 趋 
于 增多 。 如 宾 阳 籍 网 络 诈骗 嫌疑 人 与 安溪 籍 网 络 诈骗 嫌疑 人 相 勾 结 从 事 积 分 兑换 诈骗 活 


13.4 网 络 诈骗 与 电信 诈骗 的 区 别 与 联系 


电信 诈骗 是 利用 手机 等 电信 设备 为 媒介 .工具 ,采取 欺骗 方式 来 进行 诈骗 活动 的 ,主要 
是 伪 基 站 短信 诈骗 和 电话 诈骗 。 网 络 诈骗 和 电信 诈骗 的 区 别 主要 表现 在 作案 的 媒介 、 工 具 
不 同 , 网 络 诈骗 是 以 互联 网 为 媒介 进行 的 ,而 电信 诈骗 则 是 利用 手机 等 电信 设备 为 媒介 进行 
诈骗 的 。 

网 络 诈骗 与 电信 诈骗 犯罪 往往 相互 交织 。 从 性 质 上 说 ,网 络 诈骗 与 电信 诈骗 都 是 非 接 
和 触 式 诈骗 ,犯罪 嫌疑 人 与 被 害 人 之 间 大 多 无 现实 生活 中 的 接触 和 交集 。 网 络 诈骗 犯罪 活动 
中 ,往往 有 利用 短信 、 电 话 作为 诈骗 作案 工具 骗取 被 害 人 信任 的 情况 ; 在 复杂 的 电信 诈骗 犯 
罪 活 动 中 ,犯罪 嫌疑 人 也 经 常 利 用 互联 网 发 布 相关 的 诈骗 信息 或 者 诈骗 工具 ,采用 互联 网 进 
行 木马 远程 控制 ,资金 转移 等 行为 ,或 者 利用 互联 网 采集 被 害 人 银行 卡号 ,交易 密码 等 敏感 
信息 ,客观 上 形成 了 网 络 诈骗 与 电信 诈骗 犯罪 行为 交织 的 现象 。 如 犯罪 嫌疑 人 利用 网 络 电 
话 进行 来 电 显示 改写 ,冒充 国家 机 关 以 对 方 涉 及 犯罪 为 由 ,让 被 害 人 上 网 查看 所 谓 的 “最 高 
人 民 检 察 院 通缉 令 *。 此 时 ,网 络 仅仅 是 犯罪 嫌疑 人 实施 电信 诈骗 的 载体 和 工具 ,其 主要 犯 
罪过 程 仍 是 通过 通信 环节 完成 。 但 在 此 类 案件 的 办 理 过 程 中 ,网 络 侦查 往往 是 案件 取得 突 
破 口 的 重要 环节 和 途径 。 

在 实践 中 ,网 络 诈骗 和 电信 诈骗 经 常 被 归 为 一 类 进行 打击 。 例 如 (最 高 人 民法 院 、 最 高 
人 民 检 察 院 关 于 办 理 诈骗 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 )( 法 释 L2011]7 号 ) 第 五 
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条 对 利用 发 送 短信 ,拨打 电话 、 互 联网 等 电信 技术 手段 对 不 特定 多 数 人 实施 诈骗 ,诈骗 数额 
难以 查证 的 诈骗 未 遂 的 情况 进行 了 枚 举 。 条 文中 规定 :“ 发 送 诈骗 信息 五 千 条 以 上 的 、 拨 打 
诈骗 电话 五 百人 次 以 上 的 、 诈 骗 手 段 恶 劣 .危害 严重 的 ,应 当 认 定 为 刑法 第 二 百 六 十 六 条 规 
定 的 “其 他 严重 情节 ?” ,以 诈骗 罪 (未 遂 ) 定 罪 处 罚 ”。 


13.5 ”网络 诈骗 和 网 络 盗窃 的 区 别 


害 人 是 否 基于 错误 的 信任 或 者 认识 ,并 自愿 作出 财产 处 分 行为 是 区 分 网 络 诈骗 和 网 
络 盗窃 的 衡量 标志 。 财 产 损失 是 否 是 被 害 人 自行 处 分 财产 的 结果 。 如 果 被 害 人 最 终 的 财产 
损失 是 由 于 自己 的 处 分 行为 导致 , 则 是 诈骗 犯罪 ; 反之 应 当 以 盗窃 论处 。 包 括 “* 处 分 的 具体 
行为 "与 “处 分 的 意思 表示 ”, 表 现 为 直接 交付 财产 \ 或 者 承诺 行为 人 取得 财产 \ 或 者 承诺 转移 
财产 性 利益 。 

网 络 诈骗 的 显著 特征 ,是 受害 人 自愿 作出 财产 处 分 行为 ,包括 直接 交付 财产 ,或 者 财产 
账户 的 直接 处 分 权 。 如 银行 卡 的 卡号 和 取款 密码 动态 支付 口令 等 。 然 而 ,犯罪 嫌疑 人 利用 
其 他 技术 手段 在 被 害 人 不 知情 的 情况 下 窃取 了 财产 的 控制 权限 ,自行 实施 了 财产 转移 行为 ， 
应 当 以 盗窃 罪 论处 。 例 如 行为 人 在 网 站 上 放置 木马 程序 ,被 害 人 访问 钓鱼 网 站 后 ,受害 人 使 
用 的 计算 机 设备 、 手 机 设备 被 种 植 了 木马 ,从 而 导致 被 害 人 的 银行 卡号 、 密 码 等 被 犯罪 嫌疑 
人 获取 ,此 时 ,受害 人 并 无 法 知悉 自己 的 账户 控制 权限 被 他 人 秘密 窃取 , 且 被 害 人 未 实施 直 
接 的 账户 控制 权 给 付 行为 ,而 是 犯罪 嫌疑 人 通过 技术 手段 获取 了 财产 账户 的 控制 权 , 并 进行 
了 财产 转移 的 行为 ,应 当 认 定 为 盗窃 。 而 利用 木马 从 事 了 获取 被 害 人 的 信息 ,再 利用 受害 人 
的 信息 骗取 信任 ,受害 人 自愿 将 银行 账户 中 的 资金 转移 给 行为 人 , 则 认定 为 网 络 诈骗 。 


2014 年 1 月 5 日 , 某 公 司 员工 张 某 报 案 称 : 该 公司 从 北京 联通 公司 采购 
了 一 批 联通 充值 卡 ,价值 人 民 币 20 万 元 。1 月 6 日 ,公司 财务 人 员 发 现 该 批 
卡 密 被 人 大 量 次 用。 经 检查 发 现 ,1 月 6 日 上 午 , 公 司 QQ 群 内 有 一 网 名 “ 王 
总 ”( 与 公司 负责 人 网 名 、 头 像 相 同 ) 的 人 向 张 某 索 要 了 公司 管理 平台 的 用 户 
名 和 密码 。 后 犯罪 嫌疑 人 将 平台 中 20 万 元 的 充值 卡 全 部 消费 转移 。 


本 案 中 ,犯罪 嫌疑 人 冒充 公司 负责 人 ,在 QQ 和 群 内 向 张 某 索要 了 公司 管理 平台 的 用 户 名 
和 密码 。 从 作案 方式 上 看 ,似乎 是 冒充 QQ 好 友 诈骗 的 手法 ,案件 性 质 也 与 网 络 诈骗 相似 。 
但 仔细 分 析 , 本 案 中 , 张 某 是 基于 一 种 错误 的 认识 .将 公司 的 管理 平台 的 最 高 权限 告知 了 犯 
罪 嫌 疑 人 , 张 某 交 给 嫌疑 人 的 是 平台 的 管理 权限 ,而 并 非 是 财产 的 处 分 权 , 犯 罪 嫌疑 人 在 获 
取 平 台 管 理 权限 之 后 ,采用 秘密 手段 将 平台 内 的 充值 卡号 和 密码 进行 转移 。 虽 然 被 害 人 基 
于 错误 的 认识 , 交 出 了 可 能 导致 财产 损失 的 管理 权限 ,但 是 被 害 人 并 未 作出 财产 处 分 的 行为 
和 意思 表示 ,最 终 的 财产 损失 是 因 犯 罪 嫌疑 人 秘密 窃取 的 行为 导致 。 因 此 ,本 案 中 犯罪 嫌疑 
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人 的 行为 应 当 构 成 盗窃 罪 ,而 不 是 诈骗 罪 。 
13.6 常见 网 络 诈骗 的 类 型 


当前 ,网 络 诈骗 活动 屡禁不止 ,诈骗 类 型 花样 翻新 ,而 且 常 会 根据 当前 社会 热点 变换 诈 
驴 手 法 。 常 见 的 网 络 诈骗 类 型 有 冒充 好 友 诈 骗 , 商 务 邮件 诈骗 .积分 兑换 诈骗 ,兼职 诈骗 ,内 
幕 信息 (股票 .彩票 ) 诈 骗 .购物 退 款 诈骗 中奖 诈骗 ,机票 改 签 诈骗 、 网 购 二 手 车 诈骗 ,办理 假 
证 诈骗 .网 络 交友 诈骗 、 招 嫖 诈骗 等 。 


13.6.1 冒充 好 友 详 骗 


冒充 好 友 诈 骗 的 发 案 高 危 地 区 为 广西 壮族 自治 区 南宁 市 宾 阳 县 , 宾 阳 籍 人 员 为 本 犯罪 
手法 的 高 危 人 群 ,其 主要 有 如 下 犯罪 手法 。 

犯罪 嫌疑 人 使 用 自己 的 QQ 在 互联 网 上 随意 加 其 他 人 为 好 友 , 骗 取 对 方 信任 后 把 购买 
的 木马 病毒 打包 在 一 些 视频 和 照片 里 发 给 对 方 ,对 方 点 击 后 QQ 木马 即 植 入 其 电脑 中 。 利 
用 QQ 木马 病毒 窃取 获得 对 方 的 QQ 账号 、 密 码 ,然后 通过 设置 上 传 漫游 聊天 记录 的 方式 ， 
查看 该 人 经 常 联系 的 QQ 好 友 聊 天 记录 ,了 解 其 人 际 关系 ,交谈 方式 .生活 习惯 等 内 容 , 再 利 
用 资 取 的 QQ 号 码 进行 聊天 ,采用 截图 、 视 频 等 方式 取得 被 资 QQ 好 友信 任 后 ,以 交 学 费 、 借 
钱 、 结 账 等 方式 要 求 对 方 汇款 。 近 年 来 ,该 诈骗 手法 有 所 翻新 ,通过 对 盗 取 的 QQ 号 码 的 聊 
天 记录 进行 分 析 , 查 找 与 被 盗 QQ 有 资金 往来 的 联系 人 ,随后 删除 该 联系 人 ,然后 把 作案 
QQ 备注 改 为 被 删除 的 联系 人 ,以 被 删除 的 联系 人 的 名 义 与 受害 人 聊天 并 实施 诈骗 。 该 作 


法 又 从 冒充 QQ 好 友 向 微 信 好 友 进行 延 伸 。 


2014 年 11 月 , 鲍 某 在 某 公 司 内 上 网 时 , 收 到 前 同事 徐 某 的 QQ 发 来 的 信 
息 , 称 家 中 亲人 和 急症 住院 ,需要 借款 2 万 元 ,并 提供 了 一 个 银行 账号 。 鲍 某 随 
即 通过 支付 宝 向 该 指定 的 银行 账号 转账 , 待 钱 转 好 后 , 鲍 某 电话 通知 徐 某 , 告 
知 转账 成 功 ,请 对 方 查收 。 此 时 , 鲍 某 才 得 知 徐 某 的 QQ 号 被 人 盗用 ,发 现 自 
己 被 骗 了 。 


案例 


13.6.2 商务 邮件 详 鸡 


商务 邮件 诈骗 的 作案 高 危 人 员 为 境外 人 员 , 以 尼日利亚 籍 黑 种 人 居多 。 

犯罪 嫌疑 人 通过 参加 交易 会 或 者 公开 检索 等 方式 ,获取 具有 外 贸 业 务 的 境内 外 企业 邮 
箱 地 址 ,并 向 这 些 企业 邮箱 发 送 带 有 木马 链接 的 邮件 ,以 此 获取 这 些 企业 邮箱 的 密码 。 通 过 
查看 企业 邮箱 内 业务 往来 邮件 ,了 解 邮件 被 盗 方 与 他 人 的 合作 关系 及 交易 进度 ,并 进一步 套 
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取 合同 .发票 装 箱 单 等 信息 。 待 时 机 成 熟 时 ,犯罪 嫌疑 人 通过 注册 与 被 盗 邮箱 相 类 似 的 邮 
箱 , 如 用 阿拉 伯 数 字 *1” 代 替 英 文字 母 *1”, 用 英文 字母 *o” 代 替 数 字 “0” 等 ,发 送 邮 件 通 知 付 
款 方 , 称 收 款 账户 已 经 发 生 改 变 ,要 求 付款 方 将 货款 汇 人 其 他 银行 账户 中 。 此 类 案件 中 , 涉 
案 银 行 账户 多 为 境外 银行 账号 ,侦查 难度 较 大 ,而 且 嫌 疑 人 也 往往 位 于 境外 。 


2014 年 4 月 , 某 光 学 仪器 公司 报案 称 ; 2014 年 2 月 10 日 至 3 月 20 日 期 
间 , 他 人 通过 伪造 该 公司 电子 邮箱 (公司 真实 邮箱 panli@gmail. com, 虚 假 邮 
箱 panli@gmail. com) ,并 将 公司 邮箱 内 电子 邮件 中 工商 银行 收 款 账户 纂 改 
为 他 人 工商 银行 账户 ,使 得 该 公司 的 巴西 客户 将 本 应 汇 至 该 仪器 有 限 公 司 的 
18 000 美元 货款 汇 至 被 自 改 账户 ,给 该 公司 造成 18 000 美元 的 损失 。 
本 案 中 ,犯罪 嫌疑 人 盗 取 邮 箱 后 ,经 过 长 时 间 的 潜伏 ,并 摸 清楚 该 公司 与 
境外 客户 之 间 的 交易 往来 情况 ,并 使 用 了 阿拉 伯 数 字 “1” 代 替 英 文字 母 “1” 注 
册 了 相似 的 电子 邮箱 ,用 于 发 送 邮 件 ,实施 诈骗 。 


13.6.3 积分 兑换 话 骗 


福建 泉州 籍 、. 湖 南 娄底 籍 人 员 为 积分 兑换 诈骗 的 作案 高 危 人 和 群 。 

犯罪 嫌疑 人 采用 雇佣 他 人 群发 短信 的 方式 ,使 得 被 害 人 手机 收 到 所 谓 发 来 的 积分 兑换 
现金 的 短信 ,如 * 尊 敬 的 建行 用 户 , 您 的 账户 已 满 1 万 积分 可 兑换 5% 的 现金 ,请 登录 建行 手 
机 网 www. 95533vcvcb. com 兑换 ,逾期 积分 清 零 【建设 银行 】”。 被 害 人 按照 短信 中 的 要 求 ， 
登录 指定 网 址 ,输入 银行 帐号、 身份 证 号 、 手 机 号 等 信息 进行 主动 转帐。 积分 兑换 诈骗 短 
信和 如 图 13. 1 所 示 。 


《 建设 银行 
95533 


9-8 15:03 


尊敬 的 建行 用 户 ; 您 的 账户 已 满 1 万 
积分 可 兑换 5% 的 现金 ， 请 登录 建行 
手机 网 www.95533vcvcb.com 竞 
换 ， 谊 期 积分 清 零 [ 建设 银行 } 


图 13.1 积分 兑换 诈骗 短信 


中 ”如 果 下 载 程序 ,在 用 户 不 知情 的 情况 下 转账 , 则 属于 网 络 盗窃 。 
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近年 来 ,诈骗 犯罪 嫌疑 人 通过 网 络 勾 结 “ 伪 基站 ”发 送 人 ,在 某 一 地 市 某 一 区 域内 通过 
“ 伪 基 站 ”伪装 主 送 号 码 发 送信 息 。 主 送 号 码 具 有 极 强 的 伪装 性 ,甚至 直接 使 用 10086、 
95533 等 运营 商 、 银 行 的 特 服 号 码 。 由 于 ” 伪 基站 ?发 送 的 范围 有 限 , 信 号 有 效 覆 盖 区 域 为 数 
百 米 。 因 此 ,该 种 类 案件 发 案 呈 明显 的 时 间 集 中 、 地 域 集中 的 特征 。 往 往 是 某 市 某 几 天 集中 
发 生 数 十 起 同类 手法 的 案件 。 冒 充 中 国 移动 公司 进行 积分 兑换 诈骗 过 程 如 图 13. 2 所 示 。 


步骤 一 : 伪 基 站 冒充 客服 发 送 短信 步骤 二 :短信 链接 含有 "10086" 诱 用 户 
< 全 到 《 中国 移动 | 
10086 
姥 雹 市 仿 十 全 /于 信 
12-211129 12-211120 

项 歼 的 用 户 ; 你 的 积分 已 达 到 名 欧 玛 的 用 户 ， 你 的 积分 己 达 到 名 

换 615 元 现 爹 资格， 请 全 换 615 元 现金 资 格 ， 请 全 

录 scj 人 10086.com 况 换 【中国 移 录 sqL(G08D)om% 痪 [中 国 移 

动 动 ] 
步 又 三 :钓鱼 网 站 与 官方 网 站 高 度 相似 步骤 四 :请 蝙 用 户 下 载 木马 APP 


人 上 门户 -GSD | 

仿生 3 2 其 上 基业 厅 

Camoble a wp 00S6 cr 

Eu 充值 查询 办 理 
您 可 用 积分 : 31500 分 


您 可 以 交换 : Y315.00 元 人 民 币 ，。 风 隆 等 役 


需 立 妈 处 理 


图 13.2 积分 兑换 诈骗 过 程 图 示 


2014 年 12 月 26 日 . 草 某 到 公安 机 关 报 警 称 ,当日 18 时 许 , 其 手机 号 收 
到 一 条 交通 银行 客服 号 码 95559 发 来 的 短信 , 称 其 交通 银行 卡 积 分 已 满 ,登录 
网 址 (wap. 95559kpp. com) 可 兑换 现金 ,其 手机 登录 网 址 进入 后 按照 提示 操 
作 输 入 密码 和 验证 码 之 后 , 草 洁 收 到 交通 银行 发 来 的 转账 信息 ,显示 其 账号 
_ 被 转账 入 次 ,每 笔 转 账 金额 为 2000 元 人 民 币 ,共计 人 民 币 16 000 元 。 
本 本 案例 中 ,受害 人 不 是 自诉 向 媒 疑 人 账号 中 转账 ,而 且 嫌疑 人 利用 受害 
人 输入 的 银行 卡号 、 密 码 、 验 证 码 等 信息 秘密 转账 ,因此 应 定性 为 盗窃 案 。 


13.6.4 兼职 诈骗 
福建 安溪 籍 人 员 为 兼职 诈骗 犯罪 的 作案 高 危 人 群 。 
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犯罪 嫌疑 人 采用 申请 域名 ,通过 百度 优化 推广 等 方式 ,发 布 大 量 网 络 招工 、 网 络 兼 职 的 
诈骗 信息 ,或 者 通过 建立 .加 入 类 似 名 为 “大 学 生 兼 职 ” 的 QQ 群 并 发 布 信息 ,有 些 还 利用 58 
同城 .赶集 网 等 网 站 发 布 信息 等 方式 ,发 布 “淘宝 网 店 代 刷 信誉 “游戏 代 练 "等 信息 ,以 高 额 
佣金 为 诱 乌 ,后 以 卡 单 、 无 法 支付 佣金 .需要 汇款 激活 为 由 , 诱 使 受害 人 汇款 ,实施 网 络 兼 职 
诈骗 犯罪 活动 。 受 害 人 通过 互联 网 搜索 "网络 兼职 "等 关键 词 时 ,往往 会 优先 搜索 到 诈骗 信 
息 。 犯 罪 嫌疑 人 往往 预先 在 一 些 正规 虚拟 财产 交易 网 站 上 拍 好 价值 数 百 到 数 千 元 不 等 的 游 
戏 卡 密 ,游戏 币 等 虚拟 物品 ,再 告知 受害 人 购买 该 物品 以 * 赚 取信 誉 ,随后 将 受害 人 实际 付 
款 的 游戏 卡 密 等 商品 迅速 转移 。 该 类 诈骗 案件 以 QQ 等 网 络 通讯 工具 为 媒介 和 联系 渠道 ， 
以 在 网 上 寻求 兼职 的 网 民 为 侵害 目标 ,受害 者 主要 以 在 校 大 学 生 居 多 ,一 些 无 固定 职业 、 幻 
想 一 夜 暴 富 、 有 充裕 时 间 上 网 的 年 轻 人 也 多 成 为 受害 者 。 


2014 年 3 月 8 日 , 表 某 某 在 某 职业 技术 学 院 宿舍 内 上 网 时 ,在 网 上 找 了 
一 份 兼职 ( 帮 中 介 所 指定 的 网 店 刷 信誉 ) ,对方 和 训 某 某 QQ 联系 ,对 方 称 通 
过 袁 某 某 的 支付 宝 先 在 网 店 购买 商品 并 给 商铺 评 好 评 后 对 方 会 将 所 有 钱 及 
提成 退回 至 袁 某 某 的 支付 宝 账号 内 。 训 某 某 先后 八 次 通过 自己 的 支付 宝 共 
付款 8000 元 ,后 发 现 被 骗 。 


13.6.5 购物 退 款 诈骗 


福建 安溪 籍 人 员 为 购物 退 款 诈 骗 犯 罪 的 作案 高 危 人 群 。 

犯罪 嫌疑 人 通过 非法 渠道 购买 淘宝 、 京 东 、 苏 宁 易 购 等 交易 订单 信息 ,窃取 受害 人 信息 
及 订单 详情 ,通过 打 电 话 或 短信 方式 以 订单 失效 、 订 单 有 误 , 需 要 退还 支付 款 为 由 ,取得 与 被 
害 人 的 联系 ,随即 通过 QQ 等 网 络 即 时 通讯 软件 ,向 受害 人 发 送 所 谓 的 退 款 网 页 , 诱 使 被 害 
人 在 该 网 页 上 填写 个 人 信息 、 银 行 卡号 ,以 及 自己 手机 上 收 到 的 动态 密码 ,通过 诱 使 被 害 人 
交 出 银行 账户 控制 权限 的 方式 盗 取 资金 ,或 者 诱骗 被 害 人 直接 自行 通过 ATM 机 将 银行 卡 
内 的 资金 转 入 嫌疑 人 的 账户 中 。 某 购物 退 款 诈骗 短信 如 图 13. 3 所 示 。 

< 10655059666 


11-9 16:16 
1519 您 好 ， 亲 :网 上 交易 时 系统 故 
障 , 导 致 订单 卡 单 ,请 及 时 
与 4000571722 联 系 办 理 激活 或 退 
款 ,否则 6 小 时 身份 证 锁定 


图 13.3 购物 退 款 诈 骗 短信 
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2015 年 1 月 , 刘 某 在 网 上 购买 了 一 部 手机 ,随后 就 接 到 一 号 码 为 “186X 
XX” 的 手机 号 码 与 其 联系 , 称 交 易 未 成 功 ,可 以 申请 退 款 。 刘 某 按 照 对 方 
要 求 ,添加 了 一 网 名 为 “天 应 通讯 客服 ”的 QQ 号 码 为 好 友 , 后 该 QQ 号 码 给 
刘 某 发 送 了 一 个 网 络 链接 , 刘 某 按照 其 要 求 填 入 了 银行 卡号 、 交 易 密 码 、 手 
机 验证 码 等 信息 ,随后 发 现 其 工商 银行 卡 内 的 28 298 元 被 转账 至 嫌疑 人 
账户 。 


13.6.6 内 幕 信 息 (股票 彩票 ) 话 骗 


福建 安溪 籍 人 员 为 内 幕 消息 诈骗 犯罪 的 作案 高 危 人 群 。 

犯罪 嫌疑 人 申请 域名 ,搭建 网 站 ,发布 广 告 称 能 提供 福利 彩票 .香港 六 合 彩 内 幕 信息 ,或 
者 股票 内 幕 信息 , 诱 使 被 害 人 缴纳 所 谓 的 会 员 费 .手续 费 等 费用 ,以 此 诈骗 钱财 。 犯罪 嫌疑 
人 往往 会 通过 百度 优化 推广 的 方式 ,将 自己 的 诈骗 网 站 推广 至 百度 前 几 页 。 这 种 诈骗 方式 
往往 是 利用 人 们 急于 一 夜 暴 富 的 心态 ,对 外 宣称 只 要 加 入 网 站 成 为 会 员 , 就 可 以 得 到 彩票 中 
奖 号 码 或 者 股票 投资 等 内 幕 信息 ,犯罪 嫌疑 人 会 根据 受害 人 缴费 情况 ,多 次 要 求 受害 人 追加 
费用 。 某 “彩票 预测 ”诈骗 网 站 如 图 13.4 所 示 。 


oO 
9 
, 李 


中 同 所 推出 会 员 笠 均 由 < 时 二 国 赤 体 条 名 局 国有 天 理 局 联合 主办 》 三 方志 未 组 联 
守山 测 和 开关 有 效 。 彩票 官方 网 全 体 员工 向 广大 彩民 保证 会 员 料 中 奖 率 可 达 90% 以 上 参加 会 员 
在 合作 10 天 内 ,中 奖 率 如 没 达到 90% 以 上 和 彩民 可 申请 全 大 6iR 款 ! 


声明 :此 活动 仅 限于 (彩票 官方 网 出 售 ) 访 合法 网 站 网 址 :www.3dc28.com 网 上 其 内 容 与 本 站 相同 类 似 的 网 站 纯 
属 仿冒 复 乳 须 广大 彩民 注意 .如 有 发 现 请 尽快 通知 我 们 1 


客户 服务 热线 :010-60892788 联系 人 : 高 先生 


图 13.4 “彩票 预测 "诈骗 网 站 
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2014 年 5 月 期 间 , 被 害 人 徐 某 通过 网 络 查询 到 一 个 介绍 股票 的 网 站 , 许 
某 与 对 方 一 名 自称 " 张 婷 ” 的 客户 经 理 联系 后 ,对 方 要 求 受 害 人 缴纳 2000 元 的 
会 员 费 , 并 陆续 向 受害 人 提供 了 一 些 股票 信息 ,受害 人 起 初 略微 营利 ,后 来 出 
现 亏 损 。“ 张 婷 " 称 其 公司 要 搞 老 鼠 仓 ,将 其 介绍 给 一 名 自称 " 林 主 任 " 的 人 ， 
“ 林 主 任 ” 以 投入 更 多 的 钱 就 可 以 迅速 挽回 损失 ,并 承诺 有 4 倍 返 还 金额 等 理 
由 ,诱骗 受害 人 将 人 民 币 15 万 元 汇 入 开户 名 为 “ 张 全 ”的 银行 卡 上 ,后 来 受害 
人 徐 某 发 现 被 骗 。 


13.6.7 机 票 改 签 诈骗 aoms 


海南 公 州 籍 人 员 为 机 票 改 签 诈 骗 犯罪 的 作案 高 危 人 群 。 

这 种 诈骗 犯罪 手法 利用 非法 获取 的 航空 公司 订 票 数据 ,向 
购 票 预 留 手 机 号 码 群 发 短信 , 称 航 班 需要 改 签 ”, 并 留 下 400 
电话 ,要 求 被 害 人 拨打 短信 中 的 400 电话 联系 ,机 票 改 签 诈骗 
短信 如 图 13. 5 所 示 。 被 害 人 拨打 400 电话 后 ,犯罪 嫌疑 人 诱 
骗 被 害 人 说 出 银行 卡 卡 号 及 卡 内 余额 等 信息 ,随即 以 “系统 出 
错 ”" 等 理由 ,编造 谎言 骗取 受害 人 钱财 。 在 恶劣 天 气 频 发 季节 ， 
此 种 案件 呈 多 发 态势 。 目 前 ,机 票 改 签 诈骗 手段 呈现 出 了 典型 ”图 13.5 机 票 改 签 诈骗 短信 
的 电信 诈骗 与 网 络 诈骗 交 杂 的 特点 。 


2015 年 1 月 17 日 , 陈 某 在 家 中 订购 机 票 后 收 到 一 条 短信 ,内 容 称 其 订 的 
飞机 票 因 天 气 原 因 有 故障 需要 改 签 。 后 陈 某 与 嫌疑 人 取得 联系 ,嫌疑 人 称 现 
要 将 钱 款 退 给 陈 某 , 骗 取 了 陈 某 的 信任 。 随 后 , 陈 某 将 自己 的 个 人 身份 信息 、 
银行 卡号 和 动态 验证 码 输入 嫌疑 人 发 来 的 网 址 ( 实 为 银行 转账 页 面 ) ,后 发 现 
银行 卡 被 非法 转账 人 民 币 14 000 元 。 


13.6.8 中 奖 详 骗 


海南 黎 州 籍 人 员 为 中 奖 诈骗 犯罪 的 作案 高 危 人 群 。 

中 奖 诈 骗 犯 罪 紧 随 “ 时 代 潮 流 ”, 利 用 时 下 最 热门 的 综艺 节目 如 《爸爸 去 哪儿 多 奔跑 吧 兄 
弟 ) 等 栏目 的 影响 力 . 冒 称 网 民 中 奖 。 在 网 民 上 网 与 犯罪 嫌疑 人 取得 联系 后 ,对 方 以 缴纳 税 
款 、 手 续费 等 名 义 ,要 求 网 民 汇 款 。 此 类 案件 中 ,犯罪 嫌疑 人 通常 制作 虚假 网 站 ,并 使 用 任意 
显 号 软件 伪造 400 电话 ,对 受害 者 进行 诱骗 。 
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2014 年 11 月 23 日 ,被 害 人 章 菜 上 网 时 收 到 一 条 QQ 信息 ,对 方 QQ 昵 
称 为 中 国 好 声音 ,并 发 送 了 一 个 网 址 , 章 某 打开 该 网 址 后 ,出 现 了 一 个 “中 国 
好 声音 ”的 中 奖 网 页 , 章 某 按 提示 填写 个 人 信息 后 ,缴纳 了 5300 元 活动 保证 
金 ,11 月 26 日 章 某 接 到 嫌疑 人 电话 ,要 求 再 交 2000 元 个 人 所 得 税 ,此 时 章 菜 
才 发 现 被 骗 。 


案例 


13.6.9 网 购 二 手 车 诈骗 


网 购 二 手 车 诈骗 案件 的 作案 高 危 地 区 为 湖南 省 娄底 市 ,以 双 峰 县 为 重点 地 区 。 

网 购 二 手 车 诈骗 犯罪 中 ,犯罪 嫌疑 人 制作 二 手 车 交易 网 站 ,或 者 利用 知名 二 手 车 交易 板 
块 ,如 “赶集 网 58 同城 网 等 网 站 的 板块 ,发 布 二 手电 动车 ,摩托 车 的 广告 ,并 留 有 当地 的 
电话 号 码 , 以 较 低 的 价格 吸引 网 民 联 系 购买 。 被 害 人 通过 电话 等 方式 联系 犯罪 嫌疑 人 后 , 嫌 
颖 人 以 "保证 金 “ 手 续费 "等 名 义 要求 被 害 人 汇款 ,骗取 财物 。 此 类 犯罪 中 , 单 起 案件 的 价值 
不 大 ,有 些 甚至 难以 达到 立案 追诉 标准 。 因 此 在 侦办 此 类 案件 时 ,要 注意 串 并 本 地 区 案件 。 


2014 年 4 月 6 日 , 张 某 通 过 百度 搜索 二 手 摩托 车 ,浏览 到 了 一 个 二 手 摩托 
车 买卖 的 网 页 ,后 拨打 该 网 站 上 所 留 下 的 一 个 电话 号 码 (151958XXXX), 向 对 
方 询问 自己 需要 购买 二 手 车 的 问题 。4 月 7 日 ,嫌疑 人 电话 联系 张 某 ,约定 在 某 
地 铁 站 见面 ,但 随后 以 需要 先 交 钱 为 由 ,诱骗 张 某 将 人 民 币 5000 元 转 入 嫌疑 
人 提供 的 银行 卡号 内 ,汇款 后 ,受害 人 张 某 没 有 见 到 该 人 ,发 觉 自己 被 骗 。 


案例 


13.6.10 办 理 假 证 诈骗 


办 理 假 证 诈骗 案件 的 作案 高 危 地 区 为 湖南 省 娄底 市 ,以 双 峰 县 为 重点 地 区 。 

办 理 假 证 诈骗 犯罪 中 ,犯罪 嫌疑 人 制作 假 网 站 ,或 者 通过 社交 网 络 平台 、 聊 天 工具 发 布 
信息 , 称 可 以 代办 驾照 ,学 历 证 书 等 信息 ,以 办 证 须 缴纳 风险 防范 金 .工本 费 ,车 旅费 等 为 由 ， 
骗取 钱财 。 由 于 被 害 人 多 数 都 是 具有 办 假 证 的 动机 ,加 之 被 骗 金 额 不 大 ,所 以 相当 一 部 分 人 
被 骗 后 会 选择 不 报案 ,这 也 是 此 类 犯罪 高 发 的 重要 原因 之 一 。 


魏 菜 因 自 己 身体 残疾 无 法 申 领 驾照 ,2012 年 11 月 19 日 , 魏 某 在 网 上 搜 
索 代 办 驾照 的 相关 信息 ,并 与 “代办 公司 ”取得 联系 ,约定 以 6000 元 成 交 。12 
月 5 日 ,嫌疑 人 称 驾 照 已 办 好 ,要 求 受害 人 先后 汇款 5500 元 尾款 、5000 元 保 
案例 证 金 , 并 让 受害 人 到 位 于 该 市 的 某 银行 门口 拿 证 ,后 来 受害 人 发 现 被 骗 。 
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13.6.11 网 络 交 友 话 骗 


网 络 交友 诈骗 犯罪 中 ,富豪 重金 求 子 类 诈骗 的 高 危 地 区 为 江西 省 上 化 市 余 干 县 ,其 中 
以 洪 家 嘴 乡 . 江 埠 乡 、 三 塘 乡 .黄金 起 镇 为 重点 乡镇 。 

此 类 诈骗 中 ,犯罪 嫌疑 人 抓 住 受害 人 好 色 心 理 ,将 自己 包装 成 香港 ”富婆 "进行 引诱 ， 然 
后 声称 自己 的 富豪 丈夫 无 法 生育 , 想 找 人 代为 生育 ,以 重金 为 诱饵 进行 钓鱼 式 诱骗 ; 最 后 ， 
抓 住 受 害 人 急于 获 利 的 贪 禁 心理 ,以 办 理 同居 证 、 交 保险 、 公 证 费 等 种 种 理由 多 次 诱骗 受害 
人 向 其 汇款 或 转账 。 在 此 类 案件 中 ,受害 人 多 数 为 青 壮年 男子 ,经 济 条 件 不 佳 ,期 望 通过 这 
种 行为 获得 大 笔 收益 。 

该 手法 在 数 年 前 ,以 * 小 广告 ”形式 出 现在 各 地 的 街头 巷 尾 ,后 来 逐步 演化 成 利用 互联 网 
发 布 这 些 诈 骗 信息 。 现 实生 活 中 ,大 多 张贴 在 人 流量 较 大 的 街头 埠 尾 ,吸引 众多 过 往 者 驻足 
观看 ; 网 络 空间 中 ,犯罪 嫌疑 人 会 选择 人 气 高 .流量 大 的 网 站 发 布 信息 ,广告 内 容 中 承诺 的 
报酬 颇具 诱惑 力 。 


2014 年 2 月 ,受害 人 李 某 某 在 QQ 上 结识 一 女子 ,并 收 到 对 方 “ 重 金 求 
子 ” 的 信息 ,嫌疑 人 承诺 确定 怀孕 后 重 谢 100 万 人 民 币 ,并 可 先 付 定金 50 万 。 
后 来 ,嫌疑 人 以 交纳 税金 \ 公 证 费 等 借口 骗取 李 某 某 多 次 向 嫌疑 人 银行 卡号 
内 汇款 ,共计 人 民 币 59 000 元 。 受 害 人 李 某 某 报案 后 ,经 侦查 ,在 江西 省 余 干 
案例 。 县 洪 家 嘴 乡 将 犯罪 嫌疑 人 胡 某 等 四 人 抓获 。 


13.7 网 络 诈骗 案件 的 法 律 约束 


诈骗 犯罪 是 人 民 群 众 深恶痛绝 的 犯罪 类 型 之 一 。 随 着 互联 网 和 通讯 网 络 的 高 速 发 展 ， 
网 络 诈骗 已 经 成 为 诈骗 犯罪 的 最 主要 组 成 部 分 ,在 经 济 发 达 地 区 ,网络 诈骗 损失 金额 已 占 全 
部 诈骗 案件 金额 的 八成 以 上 。 近 年 来 ,打击 和 防范 网 络 诈骗 工作 已 经 成 为 中 央 至 各 地 社会 
治安 综合 治理 的 重点 工作 之 一 。 

我 国法 律 中 原本 少 有 针对 网 络 诈骗 的 专门 条 款 。 但 随 着 与 犯罪 斗争 形势 的 不 断 变化 ， 
我 国立 法 机 关 和 司法 机 关 也 相继 出 台 了 专门 针对 网 络 诈骗 的 相关 司法 解释 或 者 修正 案 。 目 
前 ,我 国法 律 规 定 中 ,适用 于 网 络 诈骗 案件 执法 办 案 的 主要 有 《刑法 》《 治 安 管理 处 罚 法 》 和 
《最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 诈骗 刑事 案件 具体 应 用 法 律 若 干 问 题 的 解释 》。 
最 新 出 台 《 刑 法 修正 案 ( 九 )) 将 网 络 诈骗 犯罪 的 帮助 行为 或 支撑 行为 进行 了 枚 举 入 刑 。 


13.7.1 《刑法 》 
《刑法 ) 第 二 百 六 十 六 条 规定 : 诈骗 公私 财物 ,数额 较 大 的 ,处 三 年 以 下 有 期 徒刑 .拘役 
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或 者 管制 ,并 处 或 者 单 处 罚金 ; 数额 巨大 或 者 有 其 他 严重 情节 的 ,处 三 年 以 上 十 年 以 下 有 期 
徒刑 ,并 处 罚金 ; 数额 特别 巨大 或 者 有 其 他 特别 严重 情节 的 ,处 十 年 以 上 有 期 徒刑 或 者 无 期 
徒刑 ,并 处 罚金 或 者 没收 财产 。 本 法 男 有 规定 的 ,依照 规定 。 

《刑法 修正 案 ( 九 )) 规 定 : 在 刑法 第 二 百 八 十 七 条 后 增加 两 条 ,作为 第 二 百 八 十 七 条 之 
一 ,第 三 百 八 十 七 条 之 二 : 

第 二 百 八 十 七 条 之 一 : 利用 信息 网 络 实施 下 列 行为 之 一 ,情节 严重 的 ,处 三 年 以 下 有 期 
徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : (一 ) 设 立 用 于 实施 诈骗 .传授 犯罪 方法 、 制 作 或 者 销售 
违禁 物品 管制 物品 等 违法 犯罪 活动 的 网 站 、 通 讯 群 组 的 ……( 三 ) 为 实施 诈骗 等 违法 犯罪 活 
动 发 布 信息 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 : 明知 他 人 利用 信息 网 络 实施 犯罪 ,为 其 犯罪 提供 互联 网 接 入 、 服 
务 器 托管 ,网络 存 储 、 通 讯 传 输 等 技术 支持 ,或 者 提供 广告 推广 ,支付 结算 等 帮助 ,情节 严重 
的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 


13.7.2 《治安 管理 处 罚 法 》 


《治安 管理 处 罚 法 ) 第 四 十 九条 规定 : 盗窃 .诈骗 .哄抢 抢夺 . 毅 诈 勒索 或 者 故意 损毁 公 
私 财物 的 ,处 五 日 以 上 十 日 以 下 拘留 ,可 以 并 处 五 百 元 以 下 罚款 ; 情节 较 重 的 ,处 十 日 以 上 
十 五 日 以 下 拘留 ,可 以 并 处 一 千 元 以 下 罚款 。 


13.7.3 《最 高 人 民法 院 、 最 高 人 民 检 察 院 关于 办 理 诈 骗 刑 事 案 件 具 
体 应 用 法 律 若 干 问题 的 解释 》 


《最 高 人 民法 院 、. 最 高 人 民 检 察 院 关于 办 理 诈骗 刑事 案件 具体 应 用 法 律 若干 问题 的 解 
释 ) 第 二 条 规定 : 诈骗 公私 财物 达到 本 解释 第 一 条 规定 的 数额 标准 ,具有 下 列 情形 之 一 的 ， 
[以 依照 刑法 第 二 百 六 十 六 条 的 规定 酌情 从 严惩 处 : (一 ) 通 过 发 送 短 信和、 拨打 电话 或 者 利 
用 互联 网 、 广 播 电 视 、 报 刊 杂志 等 发 布 虚假 信息 ,对 不 特定 多 数 人 实施 诈骗 的 …… 

第 五 条 规定 : 诈骗 未 遂 , 以 数额 巨大 的 财物 为 诈骗 目标 的 ,或 者 具有 其 他 严重 情节 的 ， 

利用 发 送 短信 、 拨 打 电话 、 互 联网 等 电信 技术 手段 对 不 特定 多 数 人 实施 诈骗 ,诈骗 数额 
难以 查证 ,但 具有 下 列 情形 之 一 的 ,应 当 认 定 为 (刑法 ) 第 二 百 六 十 六 条 规定 的 “其 他 严重 情 
节 ”, 以 诈骗 罪 (未 遂 ) 定 罪 处 罚 : (一 ) 发 送 诈 骗 信息 五 千 条 以 上 的 ; (二) 拨打 诈骗 电话 五 百 


| 
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人 次 以 上 的 ; (三) 诈骗 手段 恶劣 .危害 严重 的 。 
13.8 ”网络 诈骗 案件 的 侦查 要 点 


13.8.1 案件 管辖 


我 国 (刑法 确定 了 属地 原则 、 属 人 原则 、 保 护 原则 、 普 遍 原 则 。 这 四 大 原则 是 (刑法 》 适 
用 的 基本 原则 。 由 于 网 络 的 无 界 性 ,网 络 诈骗 往往 出 现 犯罪 行为 与 犯罪 结果 相 分 离 的 情况 。 
如 实施 者 在 境外 ,而 被 害 人 在 我 国境 内 ; 或 者 实施 者 在 我 国境 内 ,被 害 人 在 我 国境 外 的 情 
况 。 但 依据 我 国 刑法 的 基本 原则 ,只 要 网 络 诈骗 犯罪 行为 符合 我 国 刑法 的 管辖 原则 ,依法 应 
当 予 以 立案 管辖 。 
网 络 诈骗 的 管辖 在 (刑法 》 的 基础 上 ,主要 遵照 (关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程 
序 若干 问题 的 意见 》 执 行 。 实 践 中 ,由 于 网 络 诈骗 犯罪 的 犯罪 嫌疑 人 实施 犯罪 的 地 点 不 明 ， 
多 数 是 以 被 害 人 所 在 地 管辖 (被 害 人 使 用 的 计算 机 信息 系统 所 在 地 ,以 及 被 害 人 财产 遭受 损 
失地 , 即 危 害 结果 地 ) 为 原则 。 此 外 ,按照 犯罪 行为 发 生地 的 管辖 原则 ,公安 机 关 在 工作 中 发 
现 所 辖区 域内 有 人 实施 网 络 诈骗 犯罪 行为 时 ,也 应 立案 管辖 。 


13.8.2 立案 审查 


网 络 诈骗 案件 的 立案 审查 ,要 围绕 案件 的 基本 事实 .犯罪 嫌疑 人 留 下 的 通讯 联络 方式 、 
银行 卡 信息 、 第 三 方 支付 信息 等 方面 开展 。 

1. 案件 初 查 

网 络 诈 骗 案 件 立案 前 的 初 查 工作 ,主要 集中 在 是 否 有 诈骗 事实 发 生 、 被 诈骗 金额 ,是否 
具有 管辖 权 等 几 方 面 。 是否 有 诈骗 事实 发 生 , 主要 指 受 案 的 公安 机 关 应 当 就 报案 人 控告 的 
内 容 进行 审查 ,以 明确 是 否 确 实 发 生 了 网 络 诈骗 事 ( 案 ) 件 ,甄别 网 络 诈骗 与 网 络 盗窃 ,防止 
错误 定性 。 依 据 报案 人 所 控告 的 网 络 犯 罪 类 型 不 同 ,需要 审查 的 实体 内 容 也 不 尽 相 同 。 如 
在 QQ 好 友 诈 骗 犯罪 中 ,要 审查 报案 人 提供 的 犯罪 嫌疑 人 与 被 害 人 之 间 的 聊天 记录 内 容 ; 
在 网 购 二 手 车 诈骗 中 ,要 对 犯罪 嫌疑 人 发 布 的 信息 内 容 进 行 审 查 ; 在 中 奖 诈骗 中 ,要 对 被 害 
人 访问 网 站 的 网 址 及 网 站 内 容 信息 进行 审查 。 

2. 损失 数额 和 转账 方式 

准确 记录 被 害 人 被 诈骗 金额 是 确定 是 否 达到 追诉 标准 的 唯一 途径 ,也 是 日 后 为 追究 犯 
罪 嫌疑 人 刑事 责任 ,确定 量刑 幅度 的 依据 之 一 。 审 查 、 记 录 被 诈骗 金额 ,不 能 以 被 害 人 口述 
为 准 , 而 要 以 客观 的 转账 交易 记录 、 第 三 方 支付 记录 等 客观 书证 、 物 证 .电子 数据 证 据 等 为 
准 。 详 细 了 解 被 害 人 的 汇款 方式 ,可 以 在 侦查 活动 中 准确 追踪 被 诈骗 资金 走向 ,为 确定 犯罪 
嫌疑 人 居住 地 提供 侦查 线索 。 

经 过 初步 审查 ,认为 确实 属于 网 络 诈骗 案件 的 ,应 当 根据 案件 管辖 原则 ,由 相应 的 公安 
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机 关子 以 立案 ,并 开展 案件 侦查 工作 。 
13.8.3 侦查 措施 和 流程 


网 络 诈骗 案件 侦查 工作 ,应 当 围绕 报案 人 提供 的 与 案件 有 关 的 通讯 联系 .支付 交易 、 结 
算 渠 道 等 开展 。 对 案件 基本 事实 及 信息 要 素 开 展 侦查 工作 ,是 网 络 诈骗 案件 侦查 工作 的 起 
点 。 随 着 案件 侦查 的 深入 ,侦查 员 会 逐步 查证 到 与 案件 有 关 的 诸多 信息 ,其 中 不 乏 有 与 案件 
无 关 、 甚 至 是 嫌疑 人 故意 留 下 用 于 干扰 警方 侦查 视线 的 无 用 信息 、 虚 假 信息 。 此 时 ,要 坚持 
去 繁 从 简 、 去 伪 存 真主 次 分 明 、 先 易 后 难 的 原则 ,紧密 围绕 案件 的 中 心 线索 和 主干 工作 需 
求 ,对 涉案 线索 加 以 查证 。 对 于 与 案件 无 关 , 或 关联 性 较 弱 的 线索 ,要 及 时 排 否 或 舍弃 。 网 
络 案件 的 侦查 工作 ,应当 坚 持 网 上 侦查 和 网 下 侦查 相 结合 的 方式 ,围绕 “资金 流 ” 和 ”信息 流 ” 
开展 案件 侦查 工作 。 

1. 涉 网 线索 的 侦查 

(1) 对 诈骗 网 站 的 域名 及 服务 器 信息 开展 侦查 取证 工作 。 利 用 虚假 网 站 实施 诈骗 的 案 
件 中 ,受害 人 首先 接触 到 的 是 诈骗 网 站 。 每 个 网 站 都 有 "域名 "和 ”* 服 务 器 ”, 侦 查 人 员 可 以 通 
过 互联 网 工具 查询 到 域名 的 Whois 信息 ( 即 域名 注册 信息 ) 和 服务 器 的 IP 地 址 ,进而 掌握 
域名 DNS 解析 操作 和 服务 器 FTP 维护 日 志 时 登录 的 IP 地 址 ,以 发 现 犯 罪 嫌疑 人 的 真实 上 
网 IP 地 址 。 某 诈骗 网 站 的 Whois 信息 和 服务 器 IP 地 址 信息 如 图 13.6 所 示 。 

通过 调 取 网 站 的 服务 器 租用 信息 和 域名 的 维护 信息 ,可 以 快速 查找 到 犯罪 嫌疑 人 居 
住地 。 但 需要 注意 的 是 ,部 分 诈骗 网 站 在 诈骗 得 手 后 ,会 迅速 关闭 以 逃避 公安 机 关 的 打 
击 。 此 时 ,可 以 充分 利用 互联 网 的 搜索 引擎 ,对 原 有 诈骗 网 站 的 关键 域名 进行 搜索 ,并 利 
用 搜索 引擎 的 “快照 ”功能 ,对 诈骗 网 站 的 数据 进行 提取 和 固定 ,为 案件 侦办 提供 线索 和 
证 据 。 

(2) 对 网 站 发 布 信息 的 侦查 取证 工作 。 有 些 类 型 的 网 络 诈骗 案件 并 没有 特殊 的 网 络 道 
具 , 而 是 利用 正规 的 网 站 发 布 诈骗 信息 ,进而 实施 诈骗 行为 。 如 利用 XX 网 发 布 二 手 车 售卖 
信息 、 利 用 XX 网 站 发 布 租房 房 源 信息 、 利 用 X XxX 网 发 布 征婚 信息 等 。 此 类 案件 作案 成 本 极 
低 , 但 由 于 发 布 信息 的 载体 为 正规 网 站 ,因而 查证 调 取 相应 网 络 数据 的 难度 也 较 小 。 在 侦办 
此 类 案件 时 ,要 及 时 与 网 站 运营 公司 联系 , 调 取 信息 发 布 的 相关 信息 ,为 案件 侦办 工作 提供 
切入 点 。 

需要 注意 的 是 ,由 于 被 害 人 往往 只 看 到 导致 其 直接 受骗 的 某 一 条 诈骗 信息 ,因此 只 能 提 
供 该 条 诈骗 信息 内 的 QQ 号 码 、 手 机 号 码 、 银 行 卡号 等 信息 。 但 对 于 此 类 诈骗 犯罪 而 言 , 犯 
罪 嫌 疑 人 往往 会 在 某 一 个 网 站 上 发 布 一 批 相同 类 型 的 信息 ,甚至 在 相同 性 质 \ 不 同 域名 的 网 
站 上 发 布 同 种 信息 。 因 此 ,要 充分 利用 涉案 的 QQ、 手 机 号 码 、 银 行 卡号 ,发 帖 IP 地 址 等 涉 
网 要 素 开展 同一 网 站 内 部 以 及 不 同 网 站 之 间 的 帖 文 信息 串 并 工作 , 尽 可 能 多 地 为 案件 侦查 
提供 丰富 的 可 供 查证 的 案件 线索 。 
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95533vcvcb.com registrar whois 


Domain Name: 95533VCVCB.COM 

Registry Domain ID: 1954739310 DOMAIN_COMVRSN 
Registrar WHOIS Server whois publicdomainregistry com 
Registrar URL: www .publicdomainregisty com 

Updated Date: 2015-08-23T12-37-342 

Creation Date: 2015-08-23T02-53:44Z 

Registrar Registration Expiration Date: 2016-08-23T02-53:44Z 
Registrar PDR Ltd. d/b/a Public DomainRegistry com 
Registrar IANA ID: 303 

Domain Status: clientTransferProhibited https-//icann.org/epp#ic lientTransferProhibited 
Domain Status: clientUpdateProhibited https://icann.org/epp#c lientUpdateProhibited 
Domain Status: clientDeleteProhibited https://icann.org/eppitc lientDeleteProhibited 
Domain Status: clientHold https://icann org/epp#iclientHold 
Registry Registrant ID: 

Registrant Name: ASaDe 

Registrant Organization: ASaDe 

Registrant Street: Yi Qu Yi Lu Yi Hao 

Registrant City: Guang Zhou 

Registrant State/Province: 

Registrant Postal Code: 610000 

Registrant Country: CN 

Registrant Phone: +86.61284565 

Registrant Phone Ext 

Registrant Fax 

Registrant Fax Ext- 

Registrant Email uhoisbaohu@mingguantianxia com 
Registry Admin ID 

Admin Name: ASaDe 

Admin Organization: ASaDe 

Admin Street: Yi Qu Yi Lu Yi Hao 

Admin City: Guang Zhou 

Admin State/Province: 

Admin Co Ce 610000 

Admin Count 

Admin ty Ry 61284565 

Admin Phone Ext 

Admin Fax 

Admin Fax Ext: 

Admin Email: shoisbaohu@mingguantianxia com 


图 13.6 网 站 域名 的 Whois 信息 


2012 年 10 月 31 日 ,受害 人 彭 某 在 网 上 看 到 一 则 房屋 出 租 信息 ,后 与 一 
自称 为 “ 张 航 ”的 男子 见面 ,并 从 “* 张 航 ” 处 租 得 某 公 寓 住 房 ,3 天 后 受害 人 发 现 
已 无 法 联系 上 " 张 租 "。 彭 某 到 " 张 航 ”" 提 供 的 身份 证 住址 去 找寻 时 ,发 现 “ 张 
锥 ”身份 证 系 假冒 ,被 骗 租金 25 500 元 。 


公安 机 关 经 工作 发 现 , 本 案 作 案 用 的 房 源 系 犯 罪 嫌疑 人 短期 租用 后 ,制作 虚假 身份 证 


件 、 房 产 证 伯 


F 后 发 布 至 XX 网 站 。 随 后 ,公安 机 关 到 XX 网 站 所 属 信息 技 术 有 限 公司 依法 调 


取 了 本 案 所 涉及 的 房 源 信息 发 布 的 相关 日 志 , 但 由 于 涉案 信息 较 少 ,无 法 查证 到 具体 的 信息 


发 布 人 ,案件 


侦办 一 时 陷入 全 局。 随即 ,侦查 员 调 整 思路 ,依据 已 发 现 的 作案 手机 号 码 在 


XXX 网 站 上 进行 查询 .又 发 现 了 10 月 14 日 .10 月 25 日 犯罪 嫌疑 人 发 布 的 另外 两 条 房 源 信 


息 。 经 侦查 ， 


发 现 杨 某 ( 男 ,22 岁 ) 有 重大 作案 嫌疑 ,当晚 ,办 案 民警 将 正在 某 茶社 内 上 网 查 
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询 房 源 信息 ,伺机 再 次 作案 的 犯罪 嫌疑 人 杨 某 抓获 。 

(3) 对 涉案 通讯 方式 的 侦查 取证 工作 。 网 络 诈骗 通常 使 用 "一 号 通 ”"400“ 来 电 任意 
显 ”“170 虚拟 电话 ”等 网 络 虚拟 电话 与 受害 人 联系 。 要 查 明 这 些 电 话 的 性 质 及 所 属 的 运营 
商 , 通 过 与 之 联系 获取 犯罪 嫌疑 人 所 绑 定 的 通讯 工具 的 种 类 和 数量 ,并 了 解 其 申请 注册 、 联 
系 方式 .汇款 途径 .网 上 登录 等 相关 信息 。 某 400 虚拟 电话 后 台 维护 日 志 如 图 13.7 所 示 。 


4006758889 59. 50. 68. 30 zs | 0 2008-5-14 22:50 将 两 省 往 口 肌 电信 
$006366119 59. 50. 68. 30 za 9 2008-5-14 23:00 将 南 省 海口 市 电 | 
116.253.4.177 zit ml 2008-5-15 19:09 厂 西 锦州 市 。( 燃 北 区 ) 电 信 
4006366601 220.173.70.62 zia 1 1 2008-5-15 19:12 广西 迟 州 市 
4006366601 116. 253. 2.6 zi 有 2008-5-15 19:23 广西 远 州 市 。 ( 榜 北 区 ) 电 信 
220, 207. 244.133 ilt 2008-5-15 22:26 广 丁 联通 CDWA( 全 省 通用 ) 
40067573TT 219 159.159.190 a21 6 % 2008-5-16 8:15 广西 南宁 市 
40067573T7 219. 159. 159, 180 21. 6 % 6 21:20 厂 西南 于 市 
40067573TT 61, 240, 230. 192 。 221 64 M2008-5-17 2:16 广西 南宁 市 
40067573TT 222.216.109.73 a27 Gi MW 2008-5-17 3:22 广西 责 FE: 1 
220,207,6.149 a27"167" 和 0 2008-5-17 20:45 广 西 联通 CDIA( 全 省 通用 ) 
4006757977 220, 207, 6, 149 il 3 2008-5-17 20:52 广 西 联通 COUA( 全 省 
220.207.6.148 lm i 总 2008-5-17 21:03 广西 联通 CDIA( 全 省 通用 ) 
40067573T7 220.207.6.148 22 1621%4 2008-5-17 21:06 广西 联通 CDMA( 全 省 通用 ) 
4006759663 220. 207.6.148 lar-.8. 癌 2008-5-17 21:11 广西 联通 CURA( 全 省 ; 
40067573TT 220. 207.6.148 “21.16” 和 “2008-5-17 21:17 广 西 联通 CDIA( 全 省 通用 》 
207.4.199 lu 1- 语 2008-5-19 0:50 广西 联通 CORA( 全 省 下 用 ) 
$006757377 220, 207.4.199 a2..76 2008-5-19 0:59 广 西 联通 CDIA( 全 省 通 用 
$006753668 220. 207.4.189 lm-i8 8 2008-5-19 1:03 厂 西 联通 CRA( 全 省 通用 ) 
40063665603 220. 207.4.15 筷 2008-5-19 17:10 广西 联通 CDWA( 全 省 通用 ) 
$006758889 122.15.20. 245 了 iat00 2008-5-19 23:21 广西 联通 CORA( 全 省 通用 ) 
4006366603 220.207.7.82 zi ya 2008-5-20 13:55 厂 西 联通 CDIA( 全 省 通用 ) 
220.207.1.82 la eq8 2008-5-20 14:01 广西 联通 CUIA( 全 省 通用 ) 
40067573TT 220, 207,7,82 sei “2008-5-20 15: 和 9 三 西 联通 CDRA( 全 省 适用) 
4006T5T3TT 122. 15. 18.55 05 je 2008-5-21 0:36 厂 西 联通 CURA( 全 省 通用 ) 
图 13.7 400 虚拟 电话 后 台 维 护 日 志 


2. 网 下 线索 的 侦查 

网 络 诈骗 犯罪 案件 与 其 他 网 络 犯 罪案 件 一 样 ,虽然 主要 犯罪 行为 通过 互联 网 完成 ,但 在 
现实 生活 中 ,仍然 存在 大 量 的 网 下 线索 。 这 些 线索 有 些 能 直接 指向 犯罪 嫌疑 人 和 犯罪 事实 ， 
如 银行 账户 信息 、 手 机 信息 等 ; 有 些 虽 不 能 直接 指向 犯罪 事实 ,但 却 可 以 为 划 定 侦查 区 域 、 
明确 侦查 方向 和 侦查 重点 发 挥 重 大 作用 ,例如 被 害 人 的 主要 社会 关系 等 。 因 此 ,重视 网 下 线 
索 , 开 展 全 面 排查 ,突破 侦查 员 纯 粹 依赖 技术 的 侦查 思维 瓶颈 ,是 取得 案件 突破 性 进展 的 必 
要 条 件 。 


13.8.4 排查 和 抓 捕 


排查 ,是 指 利用 侦查 过 程 中 获取 的 数据 和 各 种 资源 信息 ,开展 对 犯罪 嫌疑 人 真实 身份 和 
虚拟 身份 的 甄别 工作 。 通 过 排查 可 以 明确 侦查 方向 ,锁定 犯罪 嫌疑 人 的 真实 身份 .活动 区 
域 ,梳理 抓 捕 犯 罪 嫌 疑 人 的 线索 信息 ,对 案件 的 破获 具有 重要 作用 。 排 查 工 作 要 做 到 网 上 摸 
排 与 网 下 摸排 相 结合 。 


13.8.5 询问 和 讯问 


1. 询问 
接受 报案 后 ,公安 机 关 应 当 询 问 被 害 人 并 制作 笔录 。 必 要 时 可 以 录音 、 录 像 。 《询问 笔 
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录 }》 主 要 包括 以 下 内 容 ， 

(1) 案件 基本 情况 。 受 害 人 基本 情况 、 案 发 时 间 ( 应 精确 到 时 、 分 、 秒 )、 地 点 、 案 由 、 财 物 
损失 情况 等 。 

(2) 犯罪 嫌疑 人 基本 情况 (如 使 用 的 QQ 号 ,提供 的 银行 卡号 .第 三 方 支付 平台 账 


号 等 ) 。 

(3) 被 骗 详细 过 程 : 

。 受害 人 被 骗 的 途径 、 犯 罪 嫌疑 人 冒 用 的 名 字 和 身份 .通讯 联络 时 间 、 地 点 、 次 数 、 详 细 
内 容 等 ; 

。 受害 人 将 哪些 个 人 信息 告知 对 方 ,如 所 在 地 方 、 电 话 号 码 、 生 活 方式 、 工 作 情况 ,个 人 
喜好 等 

。 在 接触 过 程 中 被 害 人 是 否 传送 .下 载 图 片 .视频 等 内 容 , 是 否 打开 过 嫌疑 人 发 给 受害 
人 的 网 址 ; 

。 受害 人 、 犯 罪 嫌 疑 人 的 涉案 账户 、 支 付 宝 账户 、 财 付 通 账户 以 及 其 他 第 三 方 支付 平台 
的 账号 密码 ,资金 流水 等 情况 ; 


。 受 害 人 有 无 受到 犯罪 嫌疑 人 的 言语 您 吓 , 是 否 出 现 无 法 通过 手机 、 电 话 等 通讯 工具 
与 外 界 联系 的 情况 ,虚构 的 汇款 (转账 ) 理 由 内 容 , 谈 及 的 电话 号 码 、 金 额 . 地 址 .人 员 


信息 等 

。 受害 人 汇款 、 转 账 时 转 和 人 、 转 出 的 银行 账号 .时 间 、 地点、 次数、 金额 方式 (柜台 汇款 、 
ATM 机 转账 、 网 银 转账 等 ) 等 ; 

。 其 他 与 案件 相关 的 信息 .线索 。 

2. 讯问 


网 络 诈骗 案件 中 ,由 于 犯罪 嫌疑 人 所 担当 的 角色 不 同 ,对 其 讯问 的 侧重 点 略 有 不 同 。 其 
中 ,针对 组 织 领 导 层 ,应 当 重 点 围绕 以 下 八 个 方面 进行 讯问 : 

(1) 有 无 实施 犯罪 行为 ,本 人 在 整个 犯罪 组 织 中 担当 的 角色 以 及 所 起 的 作用 ; 

(2) 开始 组 织 实 施 犯 罪行 为 的 时 间 ; 

(3) 诈骗 剧本 的 种 类 、 内 容 及 来 源 ; 

(4) 犯罪 工具 (包括 银行 卡 ` 公 民 个 人 信息 .诈骗 剧本 、 木 马 程序 手机 及 手机 卡 ) 的 购置 
渠道 ,价格 ; 

(5) 对 诈骗 犯罪 团伙 的 管理 方式 ; 

(6) 各 个 环节 嫌疑 人 的 内 部 分 工 情况 、 团 伙 的 组 织 结构 情况 .团伙 成 员 的 利益 分 配 
情况 ; 

(7) 对 实施 诈骗 的 同伙 成 员 实 施 辨 认 ,制作 辨认 笔录 ; 

(8) 是 否 实施 了 其 他 的 诈骗 犯罪 行为 。 

对 于 直接 实施 诈骗 的 犯罪 嫌疑 人 和 拆借 资金 .提现 的 犯罪 嫌疑 人 ,还 要 侧重 以 下 问题 进 
行 讯问 : 
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(1) 上 下 线 的 身份 ,联系 方式 .以 及 商量 从 事 犯罪 活动 的 过 程 ; 

(2) 直接 实施 诈骗 所 使 用 的 通讯 工具 ,如 QQ 号 码 、 手 机 号 码 等 ,及 这 些 通讯 工具 的 
来 源 ; 

(3) 进行 转账 的 次 数 、 金 额 、 使 用 何 种 方式 转账 .进行 转账 的 地 点 、 使 用 的 相关 账号 及 转 
账 账户 和 次 级 账户 的 来 源 ; 

(4) 提现 地 点 、 次 数 、 金 额 等 ; 

(5) 违法 所 得 情况 及 其 他 与 案件 相关 的 事实 。 


13.8.6 现场 勘查 


网 络 诈骗 犯罪 案件 的 勘查 取证 与 传统 刑事 案件 的 勘查 取证 工作 , 既 有 相似 之 处 ,又 各 自 
有 着 鲜明 的 特点 ,其 共同 点 在 于 ,二 者 都 是 对 犯罪 行为 及 其 后 果 的 固定 ,侦查 人 员 需 要 对 犯 
罪过 程 产 生 、` 遗 留 的 证 据 进行 提取 ,都 是 为 案件 侦查 工作 提供 方向 和 指引 ; 而 其 不 同 之 处 在 
于 ,在 勘查 取证 对 象 方面 ,传统 诈骗 案件 的 勘查 取证 主要 侧重 于 书证 .音像 资料 等 物证 , 而且 
重点 是 对 嫌疑 人 作案 场所 ,居住 场所 或 其 他 与 犯罪 活动 相关 的 场所 的 勘查 ,以 及 银行 流水 、 
文件 签名 .取款 录像 等 传统 物证 的 搜集 .固定 ,鉴定 ,而 网 络 诈骗 案件 的 勘查 取证 则 要 侧重 于 
电子 数据 证 据 ,由 于 网 络 诈骗 案件 的 无 界 性 和 网 络 环境 的 虚拟 性 ,网 络 诈骗 犯罪 行为 发 生 在 
互联 网 上 ,而 犯罪 后 果 则 产生 在 现实 社会 中 ,在 对 网 络 诈骗 案件 进行 勘查 取证 时 不 仅 要 对 与 
犯罪 相关 的 场所 进行 勘查 ,而 且 还 需要 对 受害 人 的 上 网 场所 及 其 所 使 用 的 手机 、 电 脑 等 与 案 
件 相 关 的 电子 设备 及 其 存储 介质 进行 勘查 取证 。 

网 络 诈骗 案件 现场 勘查 需要 固定 的 主要 电子 数据 有 : 

(1) 计算 机 内 存储 的 与 案件 相关 的 即时 聊天 软件 的 聊天 记录 ; 

(2) 手机 通信 记录 ,短信 记录 、 手 机 内 存储 的 备忘录 信息 、 图 片 信息 等 ; 

(3) 作案 用 的 计算 机 内 存储 的 与 案件 有 关 的 内 容 , 如 冒充 QQ 好 友 诈 骗 案 件 中 存储 的 
QQ 号 码 及 密码 .诈骗 范文 等 ; 

(4) 诈骗 网 站 的 管理 权限 、 网 站 内 容 , 犯 罪 嫌疑 人 使 用 远程 工具 、 云 端 存 储 工具 存储 的 
与 案件 有 关 的 数据 资料 。 


13.8.7 侦查 终结 


网 络 诈骗 案件 侦查 终结 的 条 件 与 其 他 犯罪 案件 一 样 ,依据 (公安 机 关 办 理 刑 事 案件 程序 
规定 》 第 八 章 第 十 二 节 的 相关 规定 ,同时 符合 五 个 条 件 , 即 案件 事实 清楚 ,证 据 确实 \ 充 分 , 犯 
罪 性 质 和 罪名 认定 正确 ,法 律 手续 完备 ,依法 应 当 追 究 刑事 责任 。 

“案件 事实 清楚 "是 指 在 查 清 主 要 案件 事实 ,包括 案 发 的 时 间 、 地 点 ,采用 的 犯罪 方法 、 实 
施 犯 罪 活动 的 主要 犯罪 人 员 身 份 、 犯 罪 嫌 疑 人 事前 或 事 中 的 通 谋 过 程 、 受 害 人 实际 损失 等 主 
要 环节 和 事实 。“ 证 据 确 实 、 充 分 "是 指 取 得 较为 完备 的 证 据 , 形 成 的 证 据 链 条 能 够 有 效 证 明 
犯罪 行为 的 发 生 、 过 程 及 造成 的 社会 危害 性 。“ 犯 罪 性 质 和 罪名 认定 正确 "是 指 对 于 网 络 诈 
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骗 犯罪 团伙 的 认定 及 每 个 犯罪 嫌疑 人 可 能 涉及 的 具体 罪名 要 符合 法 律 的 规定 及 事实 ,如 提 
现 的 犯罪 嫌疑 人 ,如 果 未 参与 事前 或 者 事 中 的 诈骗 犯罪 通 谋 ,而 是 明知 其 取款 是 为 诈骗 团伙 
转移 赃款 ,应 当 以 掩饰 .隐瞒 犯罪 所 得 罪 追究 刑事 责任 。“ 法 律 手 续 完 备 ” 是 指 案件 侦办 过 程 
中 的 每 一 个 执法 环节 ,都 应 当 有 相应 的 法 律 授权 。“ 依 法 应 当 追 究 刑事 责任 是 指 犯罪 嫌疑 
人 的 自然 条 件 应 当 符 合法 定 的 犯罪 主体 条 件 , 实 施 的 行为 符合 诈骗 罪 的 构成 要 件 ,数额 达到 
法 定 的 追诉 标准 。 


13.9 ”网络 诈骗 案件 的 证 据 要 点 


与 其 他 犯罪 案件 一 样 ,网 络 诈骗 案件 的 证 据 形 式 也 在 (刑事 诉讼 法 ) 第 四 十 八条 所 规定 
的 八 种 证 据 形式 之 中 。 与 传统 诈骗 案件 所 不 同 的 是 ,网 络 诈骗 案件 的 证 据 多 以 “电子 数据 ” 
形式 存在 。 网 络 诈骗 案件 的 非 现实 接触 性 使 得 证 据 极 易 灭 失 ,在 案件 侦查 过 程 中 ,部 分 取证 
工作 应 当前 置 到 侦查 的 初期 阶段 。 例 如 ,在 受理 案件 后 ,要 及 时 对 诈骗 网 站 开展 远程 勘 验 工 
作 并 制作 笔录 ,以 防止 网 站 突然 关闭 给 侦查 取证 带 来 困难 。 

网 络 诈骗 通常 针对 一 定 群 体 , 其 诈骗 过 程 复 杂 , 涉 及 的 证 据 较 多 ,前 因 后 果 不 易 理 清 。 
网 络 诈骗 的 证 据 固 定 要 确保 网 上 证 据 与 网 下 证 据 同步 获取 ,电子 数据 与 传统 物证 互相 佐证 。 
切 勿 固守 "嫌疑 人 到 位 、 案 件 告破 "传统 思维 ,要 从 证 据 入 手 ,确保 案件 诉讼 顺利 。 


13.10 网 络 诈骗 案例 剖析 


2013 年 6 月 4 日 , 某 市 公安 机 关 接 到 受害 人 魏 某 报案 称 : 其 在 与 某 网 民 

聊天 时 ,被 对 方 以 购买 机 票 为 名 诈骗 人 民 币 4 万 余 元 。 对 方 提供 了 一 个 开户 

-一 名 为 “ 王 某 ”、 归 属地 为 江苏 南京 的 银行 卡号 、 一 个 归属 地 为 南京 的 手机 号 码 
案例 以 及 一 个 昵称 为 “AA 票务 ”的 QQ 号 码 。 


这 是 一 起 典型 的 网 络 诈骗 案件 。 经 查 ,涉案 手机 号 码 登记 的 身份 信息 与 银行 卡 开户 人 
信息 相同 , 均 为 “ 王 某 ”。 公 安 机 关 受 案 并 进行 侦查 时 ,嫌疑 人 所 使 用 的 QQ 号 码 \ 银 行 卡 、 手 
机 号 码 均 已 被 弃 用 。 由 于 犯罪 嫌疑 人 反 侦 查 意识 较 强 ,在 警方 立案 侦查 后 , 除 调 取 到 的 犯罪 
嫌疑 人 的 取款 录像 外 ,警方 未 掌握 其 他 线索 和 证 据 。 至 此 ,案件 侦查 陷 人 僵局 。 

经 过 侦查 ,犯罪 嫌疑 人 使 用 了 五 个 身份 证 号 码 , 其 中 两 个 为 虚假 的 身份 证 号 码 , 另 外 三 
个 分 别 为 王 某 ( 即 涉案 银行 卡 的 户主 )、 张 某 和 陈 某 的 身份 证 。 通 过 对 于 身份 的 一 系列 侦查 
辅 以 通过 对 犯罪 嫌疑 人 的 公开 网 上 活动 进行 分 析 , 发 现 嫌疑 人 使 用 过 以 “4023” 开 头 的 QQ 
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号 码 。 通 过 对 该 QQ 的 资料 分 析 ,发现 该 QQ 的 登记 资料 是 "BB 票务 ”, 与 本 案 的 基本 案情 
较为 相似 。 

侦查 人 员 随 即 对 这 三 个 被 冒 用 的 身份 开展 工作 ,发 现 了 一 个 网 络 身份 ,通过 比 对 辨认 ， 
网 络 身份 的 持 有 者 江 某 就 是 在 安徽 马鞍 山 取 款 的 犯罪 嫌疑 人 。 围 绕 江 某 开 展 侦查 工作 ,很 
快 明确 了 另外 一 名 犯罪 嫌疑 人 程 某 的 身份 。2014 年 4 月 20 日 ,犯罪 嫌疑 人 江 某 , 程 某 在 安 
徽 芜湖 市 落网 。 


13.11 本 章 小 结 


本 章 阐述 了 网 络 诈骗 的 构成 要 件 、 特 征 , 并 详细 介绍 了 ”冒充 好 友 诈 骗 等 十 余 种 常见 网 
络 诈骗 案件 的 类 型 ,作案 特征 、 手 法 及 高 危 人 群 。 网 络 诈骗 案件 的 侦查 工作 与 传统 诈骗 案件 
的 侦查 有 着 显著 不 同 。 侦 查 的 主要 环节 不 仅 在 网 上 ,也 要 在 网 下 开展 大 量 的 侦查 取证 和 摸 
排 工 作 。 只 有 将 网 上 侦查 和 网 下 侦查 两 个 环节 统一 起 来 ,坚持 两 个 战场 相互 支撑 .相互 补 
充 、 相 互 印证 ,才能 取得 良好 的 效果 。 


思 考 题 


1. 网 络 诈骗 和 网 络 盗窃 的 本 质 区 别 是 什么 ? 

2. 2015 年 4 月 22 日 ,A 市 居民 吴 某 在 上 网 时 ,看 到 一 则 广告 ,声称 可 以 帮助 炒股 。 随 
后 , 吴 某 访问 了 一 名 为 “内幕 信 息 网 ?的 网 站 ,并 与 所 谓 的 客服 联系 ,随后 缴纳 手续 费 、 交 易 费 
等 费用 ,共计 人 民 币 3 万 元 。 经 查 , 该 “内幕 信息 网 服务 器 在 B 市 。 服 务 器 的 管理 者 位 于 C 
市 。 网 站 系 D 市 市 民 陈 某 等 人 搭建 并 实施 诈骗 行为 。 请 问 : 从 我 国法 律 的 规定 上 看 ,本 案 
中 对 吴 某 被 诈骗 案 依法 拥有 管辖 权 的 公安 机 关 是 哪 几 个 ? 
. 阐述 我 国 主要 网 络 诈骗 类 型 及 对 应 的 高 危 地 区 。 
网 络 诈骗 犯罪 的 侦查 工作 应 当 从 哪 几 方面 进行 ? 
简 述 网 上 扩 线 排查 工作 方法 。 
. 简 述 网 络 诈骗 案件 的 现场 勘 验 取证 工作 要 点 。 

7. 2015 年 8 月 , 某 市 民 到 公安 机 关 报案 称 ,在 www. 5lfan. cc 网 站 上 看 到 股票 内 幕 信 
息 ,于 是 与 对 方 联系 ,添加 对 方 QQ 号 码 2140010000 并 和 对 方 联系 ,随即 被 对 方 以 保证 金 、 
学 费 等 名 义 要 求 ,先后 向 对 方 农 行 卡 内 分 三 次 打 入 现金 12 万 元 。 后 发 现 被 骗 。 试 论述 本 案 
的 侦查 工作 要 点 。 
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本 章 学 习 目标 

。 网 络 和 盗窃 的 概念 

。 网 络 盗窃 的 犯罪 构成 

。 网 络 盗 窃 的 常见 类 型 和 特点 
。 网 络 盗 窃 案 件 的 侦查 要 点 
。 网 络 盗窃 案件 的 法 律 约 束 
。 网 络 盗窃 案件 的 证 据 要 点 
。 网 络 盗窃 案例 剖析 


随 着 互联 网 和 信息 技术 的 快速 发 展 和 全 面 普 及 ,盗窃 这 一 传统 犯罪 延伸 发 展 到 互联 网 
上 ,本 章 通 过 介绍 网 络 盗窃 犯罪 案件 的 基本 情况 、 类 型 特点 、 侦 查 思 路 、 典 型 案例 ,详细 阐述 
网 络 盗窃 犯罪 的 作案 方式 ,犯罪 团伙 的 组 织 架 构 涉案 线索 的 分 析 方 法 ,以 达到 掌握 网 络 资 
窃 案 件 的 侦查 、 取 证 、 诉 讼 等 要 点 的 目的 。 


14.1 网 络 盗窃 的 概念 


随 着 全 球 信息 技术 的 迅猛 发 展 ,网 络 已 经 开始 并 将 继续 深入 地 渗透 到 人 们 的 生活 之 中 ， 
网 络 犯罪 亦 相伴 而 生 ,在 互联 网 上 不 仅 可 以 实施 以 计算 机 系统 为 对 象 的 新 型 犯罪 ,还 大 大 方 
便 了 传统 犯罪 的 实施 ,并 赋予 盗窃 等 传统 犯罪 新 的 网 络 特征 ,每 年 全 球 因 网 络 盗窃 造 成 的 商 
业 损 失 已 达 数 千 亿 美元 。 我 国 随 着 信息 化 进程 的 发 展 ,计算 机 网 络 违法 犯罪 更 为 突出 ,网 络 
违法 犯罪 案件 呈 大 幅 上 升 趋势 ,在 网 络 安全 领域 ,网 络 盗窃 犯罪 已 成 为 重要 威胁 ,特别 是 近 
年 来 ,黑客 表现 的 趋 利 性 增强 ,利用 计算 机 病毒 \ 木 马 进 行 的 网 络 盗窃 犯罪 曙 明 显 上 升 趋势 ， 
组 织 化 和 产业 化 势头 强劲 ,已 经 严重 威胁 到 我 国 的 国家 安全 和 社会 稳定 。 


14.1.1 网 络 盗 窗 犯 罪 的 定义 


在 我 国 (刑法 》 中 并 没有 “网 络 盗窃 ”的 单独 定义 ,网 络 盗窃 是 盗窃 这 一 传统 犯罪 在 网 络 
空间 中 的 一 种 表现 ,是 随 着 信息 化 技术 的 高 速 发 展 和 普及 应 用 而 出 现 的。 根据 (中 华人 民 共 
和 国 刑法 ) 第 二 百 六 十 四 条 的 规定 ,盗窃 罪 是 指 以 非法 占有 为 目的 ,秘密 窃取 公私 财物 数额 
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较 大 或 者 多 次 盗窃 、 和 信 户 盗窃 、 携 带 凶 器 盗窃 、 扒 窍 公私 财物 的 行为 。 网 络 盗窃 犯罪 是 常见 
的 网 络 犯 罪 之 一 ,是 通过 计算 机 网 络 技 术 , 采 取 黑 客 攻击 、 社 会 工程 , 植 入 木马 等 方式 ,控制 
计算 机 信息 系统 或 账号 ,秘密 窃取 公私 财物 的 行为 。 


14.1.2 网 络 和 盗窃 的 基本 方式 


网 络 应 用 的 多 样 性 ,也 决定 了 网 络 盗窃 犯罪 形式 多 种 多 样 。 网 络 盗窃 犯 罪 嫌 疑 人 通过 
研究 人 的 心理 ,网 络 应 用 漏洞 等 ,不 断 更 新 犯罪 手法 。 主 要 的 网 络 盗窃 犯罪 方式 有 : 

(1) 利用 职务 之 便 , 通 过 工作 中 的 便利 条 件 获 得 网 络 用 户 的 个 人 信息 ,进而 盗窃 他 人 
财物 。 

(2) 利用 木马 ,蠕虫 等 计算 机 病毒 .社会 工程 学 等 ,非法 获取 他 人 银行 账号 ,支付 平台 账 
号 、 密 码 等 的 个 人 信息 ,秘密 窃取 公私 财物 。 

(3) 利用 黑客 技术 ,取得 计算 机 信息 系统 控制 权 , 获 取 计 算 机 信息 系统 内 存储 的 充值 
卡 、 代 金 券 等 货币 等 值 数 据 信息 ,非法 窃取 公私 财物 。 


14.2 网 络 盗窃 的 犯罪 构成 


14.2.1 犯罪 主体 


网 络 盗 穷 犯罪 的 主体 是 一 般 主体 , 凡 达 到 刑事 责任 年 龄 (16 周岁 ) 且 具备 刑事 责任 能 力 
的 人 均 能 构成 。 网 络 盗窃 犯罪 的 主体 与 普通 盗窃 的 主体 的 不 同 之 处 是 ,网 络 盗窃 犯罪 嫌疑 
人 通常 具有 较 专 业 的 计算 机 网 络 知识 ,并 能 够 利用 专门 知识 从 事 盗窃 公 私 财物 的 行为 。 


14.2.2 犯罪 客体 


网 络 盗窃 侵犯 的 客体 是 公私 财物 的 所 有 权 。 传 统 的 盗窃 客体 一 般 是 指 现金 .贵重 物品 
等 动产 ,属于 有 形 物 品 , 但 是 网 络 盗窃 犯罪 的 侵犯 客体 都 是 虚拟 的 ,包括 网 上 银行 ,第 三 方 支 
付 平台 内 的 公私 资金 .充值 卡 、 代 金 券 卡号 及 密码 等 ,都 是 以 数字 形式 记录 在 服务 器 中 ,犯罪 
客体 的 虚拟 性 是 网 络 盗 窃 与 普通 盗窃 活动 的 最 大 不 同 。 

非法 获取 计算 机 信息 系统 数据 犯罪 客体 仅 限于 数据 ,而 网 络 盗窃 犯罪 的 客体 是 与 数据 
紧密 相关 的 公私 财物 。 

14.2.3 和 犯罪 的 主观 要 件 

网 络 盗窃 与 普通 盗窃 行为 在 主观 方面 均 表现 为 直接 故意 , 且 具 有 非法 占有 的 目的 ,不 存 
在 非 利益 因素 。 网 络 盗窃 的 本 质 是 通过 获取 电子 数据 进而 窃取 公私 财物 的 一 种 违法 行为 。 
网 络 盗窃 案件 行为 人 的 唯一 目的 就 是 非法 占有 公私 财物 ,围绕 网 络 盗窃 通过 编写 .传播 .使 
用 木马 .人 侵 计 算 机 信息 系统 、 非 法 获取 电子 数据 等 其 他 一 切 行为 都 是 以 获取 最 大 利益 为 
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动机 。 
14.2.4 犯罪 的 客观 要 件 


网 络 盗窃 在 客观 方面 表现 为 行为 人 具有 窃取 数额 较 大 的 公私 财物 或 者 多 次 窃取 公私 财 
物 的 行为 。 所 谓 窃取 ,是 指 行为 人 违反 被 害 人 的 意志 ,将 他 人 占有 的 财物 转移 为 自己 或 第 三 
者 (包括 单位 ) 占 有 。 这 一 点 与 网 络 诈骗 截然 不 同 ,在 侦查 工作 中 需要 甄别 、 判 断 。 


14.3 ”网络 盗窃 的 常见 类 型 


14.3.1 网 银 盗 窗 


在 互联 网 上 ,网 上 银行 是 犯罪 嫌疑 人 窃取 受害 人 资金 的 重要 渠道 之 一 。 犯 罪 嫌疑 人 通 
常 采取 社会 工程 学 、 网 络 钓鱼 .盗号 木马 等 方式 ,获取 受害 人 网 上 银行 账号 .密码 ,进而 直接 
登录 网 上 银行 ,迅速 将 受害 人 网 银 账户 内 的 资金 转账 到 多 个 银行 卡 内 ,并 指使 * 马 仔 ” 立 即 提 
现 。 目 前 对 网 上 银行 的 攻击 主要 有 钓鱼 网 站 、` 嵌 人 浏览 器 执行 键盘 记录 、 窃 取 数字 证 书 文 
件 、 植 人 远程 控制 木马 等 途径 。 


14.3.2 第 三 方 支付 平台 盗 窗 


网 上 银行 反 盗 窃 技 术 措 施 日 益 加 强 , 网 络 资 窍 犯罪 嫌疑 人 将 盗窃 目标 转向 了 存在 漏洞 
或 者 防护 措施 薄弱 的 一 些 第 三 方 支付 平台 ,犯罪 嫌疑 人 在 非法 获取 受害 人 第 三 方 支付 平台 
账号 、 密 码 后 ,一 方面 直接 将 受害 人 第 三 方 支付 平台 内 的 资金 转账 到 多 个 银行 卡 内 进而 提 
现 , 另 一 方面 通过 网 络 购物 的 方式 ,使 用 受害 人 第 三 方 支付 平台 内 的 资金 购买 充值 卡 、 代 金 
券 .游戏 币 等 数据 虚拟 产品 ,然后 再 将 数据 虚拟 产品 转卖 变现 。 


14.3.3 充值 卡 、 代 人 金 券 等 货币 等 值 数 据 盗 窗 


网 络 盗 窍 犯罪 嫌疑 人 不 仅 将 网 上 银行 .第 三 方 支付 平台 等 受害 人 的 资金 作为 作案 目标 ， 
而 且 还 把 充值 卡 、 代 人 金 券 等 货币 等 值 数 据 作为 作案 目标 ,通过 社会 工程 学 等 方式 获取 充值 
卡 、 代 金 券 等 数据 信息 管理 平台 控制 权限 ,获取 充值 卡 .代金 券 的 号 码 、 密 码 等 数据 ,一 方面 
直接 自己 消费 使 用 , 另 一 方面 通过 转卖 等 方式 销赃 变现 。 
14.3.4 网 络 服务 盗窃 

在 互联 网 时 代 , 网 络 服务 也 是 一 种 有 价值 的 商品 ,个 人 或 单位 需要 向 网 络 运营 商 支 付费 
用 才能 获得 使 用 权限 。 网 络 服务 盗窃 案件 的 犯罪 对 象 是 有 价 商品 即 网 络 服务 ,虽然 不 是 现 


实 财物 ,但 是 盗 取 的 网 络 服务 系 用 金钱 购买 的 无 体 物 商 品 ,客观 方面 主要 表现 为 次 用 他 人 公 
共 信 息 网 络 上 网 账号 、 密 码 上 网 。 
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14.4 网 络 盗窃 的 特点 


14.4.1 虚拟 性 


一 方面 ,网 络 盗窃 案件 的 客体 方面 具有 虚拟 性 ,网 络 资 窃 犯罪 客体 主要 是 电子 货币 、 货 
币 等 值 数 据 、 网 络 有 价 服务 以 及 虚拟 财产 等 ,需要 计算 机 信息 系统 才能 转化 .显现 现 实 财产 
价值 。 另 一 方面 ,网 络 盗窃 案件 的 客观 方面 具有 虚拟 性 ,犯罪 嫌疑 人 实施 网 络 盗窃 行为 主要 
是 通过 互联 网 和 计算 机 信息 系统 ,采取 入 侵 、 木 马 等 方式 获取 系统 控制 权限 或 数据 信息 , 进 
而 窃取 公私 财物 。 


14.4.2 超 宝 间 性 


由 于 互联 网 开放 性 、 虚 拟 性 和 超 空间 性 的 特点 ,网 络 盗窃 不 需要 犯罪 嫌疑 人 与 被 害 人 、 
作案 对 象 在 同一 地 域 ,犯罪 嫌疑 人 可 以 通过 计算 机 信息 系统 或 互联 网 异地 实施 犯罪 ,不 受 地 
域 和 空间 限制 。 


14.4.3 技术 复杂 性 


当前 网 络 安全 日 益 受 到 重视 ,防范 网 络 安全 的 措施 越 来 越 严密 ,网 络 盗窃 犯 罪 嫌 疑 人 需 
要 具有 相当 丰富 的 计算 机 专业 知识 和 熟练 的 网 络 操作 技能 ,通过 复杂 的 技术 操作 和 环节 ,人 
侵 计 算 机 信息 系统 ,获取 系统 控制 器 或 资金 相关 账号 ` 密 码 ,进而 实施 盗窃 犯罪 。 


14.5 ”网络 盗 窍 与 非法 获取 计算 机 信息 系统 数据 的 区 别 


在 侦查 实务 中 ,经 常会 把 非法 获取 计算 机 信息 系统 数据 与 网 络 盗窃 相 混淆 。 

1. 犯罪 客体 和 犯罪 对 象 不 同 

网 络 盗 穷 犯 罪 的 客体 是 公私 财物 的 所 有 权 , 犯 罪 对 象 是 虚拟 化 的 资金 、 商 品 和 货币 等 值 
卡 券 的 号 码 、 密 码 等 数据 信息 ; 而 非法 获取 计算 机 信息 系统 数据 犯罪 的 客体 是 计算 机 信息 
系统 的 安全 ,犯罪 对 象 仅 限于 使 用 中 的 计算 机 信息 系统 中 存储 、 处 理 、 传 输 的 数据 ,脱离 计算 
机 信息 系统 存放 的 计算 机 数据 。 

2. 犯罪 行为 不 同 

网 络 盗窃 犯 罪行 为 是 窃取 虚拟 化 的 资金 .商品 和 货币 等 值 卡 券 的 号 码 .密码 等 具有 自身 
价值 的 数据 信息 ; 非法 获取 计算 机 信息 系统 数据 犯罪 行为 是 非法 获取 自身 不 具有 价值 的 数 
据 信 息 。 
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14.6 网 络 盗窃 案件 的 法 律 约束 


14.6.1 《刑法 》 


《刑法 ?第 二 百 八 十 七 条 “利用 计算 机 实施 金融 诈骗 、 盗 窃 贪污、 挪用 公款 、 窃 取 国家 秘 
密 者 其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

第 二 百 六 十 四 条 资 窃 公私 财物 ,数额 较 大 的 ,或 者 多 次 盗窃 .入 户 盗窃 、 携 带 凶 器 资 
窃 、 扒 窃 的 ,处 三 年 以 下 有 期 徒刑 拘役 或 者 管制 ,并 处 或 者 单 处 罚金 ; 数额 巨大 或 者 有 其 他 
严重 情节 的 ,处 三 年 以 上 十 年 以 下 有 期 徒刑 ,并 处 罚金 ; 数额 特别 巨大 或 者 有 其 他 特别 严重 
情节 的 ,处 十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 ,并 处 罚金 或 者 没收 财产 。 

第 二 百 六 十 五 条 ”以 件 利 为 目的 , 盗 接 他 人 通信 线路 .复制 他 人 电信 码 号 或 者 明知 是 咨 
接 、 复 制 的 电信 设备 ,设施 而 使 用 的 ,依照 本 法 第 二 百 六 十 四 条 的 规定 定罪 处 罚 。 


14.6.2 刑法 修正 案 ( 九 ) 


刑法 第 二 百 五 十 三 条 之 一 ”违反 国家 有 关 规 定 , 向 他 人 出 售 或 者 提供 公民 个 人 信息 , 情 
节 严 重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 
上 七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

违反 国家 有 关 规 定 , 将 在 履行 职责 或 者 提供 服务 过 程 中 获得 的 公民 个 人 信息 ,出售 或 者 
提供 给 他 人 的 ,依照 前 款 的 规定 从 重 处 罚 。 

窃取 或 者 以 其 他 方法 非法 获取 公民 个 人 信息 的 ,依照 第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。 

第 二 百 八 十 七 条 之 一 ”利用 信息 网 络 实施 下 列 行为 之 一 ,情节 严重 的 ,处 三 年 以 下 有 期 
徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : 

(一 ) 设立 用 于 实施 诈骗 传授 犯罪 方法 ,制作 或 者 销售 违禁 物品 .管制 物品 等 违法 犯罪 
活动 的 网 站 、 通 讯 群 组 的 ; 

(二 ) 发 布 有 关 制 作 或 者 销售 毒品 ,枪支 ,淫秽 物品 等 违禁 物品 、 管 制 物品 或 者 其 他 违法 
犯罪 信息 的 ; 

(三 ) 为 实施 诈骗 等 违法 犯罪 活动 发 布 信息 的 。 
单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 ”明知 他 人 利用 信息 网 络 实施 犯罪 ,为 其 犯罪 提供 互联 网 接 入 、 服 
务 器 托管 .网 络 存 储 、 通 讯 传 输 等 技术 支持 ,或 者 提供 广告 推广 ,支付 结算 等 帮助 ,情节 严重 
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的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 


14.6.3 治安 管理 处 罚 法 


第 四 十 九条 盗窃 .诈骗 ,哄抢 .抢夺 ,敲诈 勒索 或 者 故意 损毁 公私 财物 的 ,处 五 日 以 上 
十 日 以 下 掏 留 ,可 以 并 处 五 百 元 以 下 罚款 ; 情节 较 重 的 ,处 十 日 以 上 十 五 日 以 下 拘留 ,可 以 
并 处 一 千 元 以 下 罚款 。 

在 实际 执法 过 程 中 ,网 络 盗窃 一 般 都 够 刑事 处 罚 的 起 刑 点 ,因此 网 络 盗窃 以 刑事 处 罚 居 
多 。 在 不 够 刑事 起 刑 条 件 下 ,可 以 进行 治安 处 罚 。 


14.6.4 最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 盗 窗 刑 事 案 件 适 
用 法 律 若 干 问题 的 解释 

为 依法 惩治 盗窃 犯罪 活动 ,保护 公私 财产 ,根据 (中 华人 民 共和 国 刑法 多 中 华人 民 共 和 
国 刑事 诉讼 法 ) 的 有 关 规 定 , 现 就 办 理 资 窃 刑事 案件 适用 法 律 的 若干 问题 解释 如 下 ， 

第 一 条 ”盗窃 公私 财物 价值 一 千 元 至 三 千 元 以 上 ,三 万 元 至 十 万 元 以 上 .三 十 万 元 至 五 
二 万 元 以 上 的 ,应 当 分 别 认定 为 刑法 第 二 百 六 十 四 条 规定 的 “数额 较 大 "“ 数 额 巨大 "“ 数 额 
特别 巨大 ”。 

各 省 .自治 区 .直辖市 高 级 人 民法 院 . 人 民 检 察 院 可 以 根据 本 地 区 经 济 发 展 状况 ,并 考虑 
社会 治安 状况 ,在 前 款 规定 的 数额 幅度 内 ,确定 本 地 区 执行 的 具体 数额 标准 , 报 最 高 人 民法 
院 、. 最 高 人 民 检 察 院 批准 。 


14.6.5 最 高 人 民法 院 关 于 审理 扰乱 电信 市 场 管理 秩序 案件 具体 应 
用 法 律 若 干 问题 的 解释 


第 七 条 ”将 电信 卡 非法 充值 后 使 用 ,造成 电信 资费 损失 数额 较 大 的 ,依照 刑法 第 二 百 六 
十 四 条 的 规定 ,以 盗窃 罪 定 罪 处 罚 。 

第 八条 ”盗用 他 人 公共 信息 网 络 上 网 账号 .密码 上 网 ,造成 他 人 电信 资费 损失 数额 较 大 
的 ,依照 刑法 第 二 百 六 十 四 条 的 规定 ,以 盗窃 罪 定 罪 处 罚 。 


14.7 网 络 盗窃 案件 的 侦查 要 点 


14.7.1 党 件 管辖 
网 络 盗窃 的 管辖 在 (刑法 ) 的 基础 上 ,主要 遵照 (关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程 
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序 若 干 问题 的 意见 ) 执 行 。 
14.7.2 立案 审查 


网 络 盗窃 案件 的 立案 审查 ,要 围绕 案件 的 基本 事实 、 判 定案 件 的 性 质 、 类 型 ,确定 是 否 具 
备 立 案 基 础 。 

1. 审查 案件 性 质 

立案 审查 之 初 ,要 确定 网 络 盗窃 事实 发 生 , 后 果 的 严重 性 以 及 是 否 应 当归 本 公安 机 关 管 
辖 等 几 方面 。 依 据 报 案 人 所 控告 的 网 络 盗窃 类 型 不 同 , 需 要 审查 的 实体 内 容 也 不 尽 相 同 。 
如 判定 是 计算 机 设备 故障 还 是 智能 终端 设备 被 植 人 木马 ,是 主动 转账 被 诈骗 还 是 不 知情 的 
情况 下 被 盗窃。 

2. 审查 案件 后 果 

被 害 人 的 损失 是 日 后 追究 犯罪 嫌疑 人 刑事 责任 ,确定 量刑 幅度 的 尺度 之 一 。 审 查 记录 
被 害 人 损失 ,不 能 以 被 害 人 口述 为 准 , 要 有 能 够 作为 证 据 使 用 的 银行 转账 记录 、 通 知 短信 等 
信息 。 

经 过 初步 审查 ,认为 确实 属于 网 络 盗窃 案件 ,应 当 根据 案件 管辖 原则 ,由 相应 的 公安 机 
关 予 以 立案 ,进行 侦查 。 


14.7.3 侦查 措施 和 流程 


网 络 盗窃 案件 是 近年 来 网 络 违法 犯罪 中 多 发 型 案件 。 因 利益 驱动 下 产业 链 的 分 工 不 断 
细 化 ,操作 日 趋 简便 , 获 利 更 加 快捷 ,所 以 老手 新 手 趋 之 若 合 ,致使 此 类 案件 高 发 不 下 ; 同 
时 ,又 因 团 伙 成 员 之 间 借 助 互联 网 技术 , 勾 连 时 常 变化 ,身份 更 加 隐秘 , 青 加 之 目前 我 国法 律 
相对 滞后 ,由 此 带 来 的 认识 模糊 、 准 备 不 足 .方法 简单 等 主观 因素 ,使 得 此 类 案件 破案 不 多 ， 
打击 存在 “ 短 板 " 现 象 。 打 击 该 类 案件 应 克服 重 抓 人 破案 、 轻 取证 筹划 的 “短视 "侦查 现象 , 提 
高 对 此 类 案件 作案 动机 、 团 伙 性 质 、 社 会 危害 打击 方法 等 方面 的 整体 认识 ,坚持 打击 源头 、 
打击 团伙 ,有 效 遏 制 网 络 盗窃 犯罪 。 
1. 要 对 网 络 盗窃 案件 的 概念 有 一 个 总 体 把 握 
网 络 盗窃 的 本 质 是 非法 占有 受害 人 网 银 及 第 三 方 支付 平台 的 资金 有 价 电子 卡 券 网 络 
服务 等 公私 财物 的 一 种 违法 行为 。 网 络 盗窃 案件 行为 人 的 唯一 目的 就 是 非法 占有 公私 财 
物 ,围绕 网 络 盗窃 通过 编写 、 传 播 .使 用 木马 等 其 他 一 切 行为 都 是 为 了 获取 与 被 害 人 财物 相 
关 的 数据 信息 ,进而 窃取 有 价 数据 信息 和 资金 ; 网 络 盗窃 案件 从 理论 上 说 一 个 人 或 一 个 团 
伙 就 可 以 完成 , 正 是 由 于 追逐 利益 的 原始 动力 ,再 加 之 逃避 打击 的 心理 因素 ,形成 了 目前 犯 
罪 团伙 既 分 工 明确 又 组 织 松散 、 既 密切 联系 又 各 自 为 战 的 特点 。 

2. 网 络 盗窃 案件 侦查 的 一 般 步 旦 

一 是 查 域名 服务 器 。 网 络 盗窃 案件 中 受害 人 首先 接触 到 的 是 钓鱼 网 站 或 盗号 木马 的 回 
传 地址 。 我 们 可 以 通过 互联 网 工具 查询 到 域名 的 Whois 信息 ( 即 域名 注册 信息 ) 和 服务 器 
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的 信息 ,进而 掌握 域名 DNS 解析 操作 和 服务 器 FTP 维护 日 志 时 登录 的 信息 ,以 发 现 犯罪 嫌 
疑 人 的 踪迹 。 

二 是 查 资金 流向 。 掌 握 被 资 资金 的 流向 是 成 功 侦破 网 络 盗窃 案件 的 关键 。 犯 罪 嫌疑 人 
盗 取 资 金 后 一 般 是 直接 提现 、 网 银 转 账 或 者 网 上 购物 后 变卖 套现 。 通 过 追踪 资金 走向 ,不 仅 
能 够 掌握 资金 数量 ,而 且 能 够 圈定 犯罪 嫌疑 人 的 活动 范围 ,赢得 调 取 提现 录像 的 时 间 , 从 而 
为 后 期 实施 抓 捕 和 证 据 认 定 黄 定 基础 。 

三 是 查 涉案 关键 字 。 钓 鱼网 站 上 或 多 或 少 都 会 留 有 姓名 、 手 机 、 电 话 、.QQ, 公 司 地 址 、 
MSN 银行 账号 .电子 邮箱 等 涉案 信息 ,将 这 些 信息 作为 关键 字 在 “百度 “谷歌 “搜狗 ”等 多 
个 搜索 引擎 中 检索 ,可 以 发 现 相 同 或 相似 涉案 信息 和 案件 串 并 线索 。 

四 是 查 虚 拟 身 份 。 犯 罪 嫌疑 人 在 实施 网 络 盗窃 的 各 个 环节 中 ,可 能 会 留 下 网 上 虚拟 身 
份 ,通过 回溯 和 跟踪 已 知 的 虚拟 身份 ,可 以 发 现 和 掌握 犯罪 嫌疑 人 的 真实 身份 活动 区 域 .好 
友 关系 、 成 员 数 量 等 深层 次 情报 信息 ,从 而 为 突破 全 案 提 供 导向 。 


14.7.4 排查 和 抓 捕 


网 络 盗窃 一 般 为 团伙 作案 ,其 中 关系 错综复杂 。 仅 仅 一 条 线索 通过 侦查 可 能 会 关联 出 
许多 有 价值 的 信息 ,也 可 能 会 挖掘 出 一 个 更 大 、 更 完整 的 团伙 体系 。 如 果 有 迹象 表明 是 一 个 
较 大 的 团伙 案件 时 ,要 讲究 先后 、 远 近 、 难 易 等 工作 顺序 ,做 到 统筹 安排 。 

对 网 络 盗窃 案件 进行 排查 ,应 以 挂 马 人 为 人口 ,进一步 掌握 “箱子 ”银行 卡 等 信息 ,同时 
对 资金 流向 有 准确 把 握 , 对 获取 证 据 和 扩大 战果 打下 比较 好 的 基础 。 如 先 打 击 木马 制作 者 ， 
下 层 会 因 无 木马 更 新 来 源 而 作 鸟 曾 散 , 稍 有 滞后 就 可 能 失去 侦查 、 取 证 和 抓 捕 的 良机 。 

网 络 盗窃 的 团伙 体 一 段 时 间 内 会 相对 固定 ,但 也 不 排除 因 利益 失衡 或 冲突 而 发 生 多 种 
形式 的 变化 。 团 伙 成 员 的 变化 多 样 性 以 及 分 布 广泛 性 ,给 打击 破案 带 来 一 定 的 难度 。 因 此 ， 
打击 此 类 违法 犯罪 不 能 拘泥 于 某 一 特定 的 形式 ,而 是 要 根据 已 掌握 的 线索 和 获取 的 证 据 , 并 
结合 本 单位 的 工作 实际 进行 全 面 权衡 , 既 可 选择 对 诸多 中 下 层 各 个 击破 分 散打 击 , 并 逐步 向 
上 层 推 进 的 办 法 ; 也 可 采取 预先 布点 侦察 蹲 守 ,统一 时 间 集 中 收 网 的 举措 。 如 果 条 件 允 许 ， 
则 可 以 采取 集中 与 分 散打 击 并 举 的 方式 ,相对 集中 警力 对 此 类 违法 犯罪 进行 彻底 的 打击 。 
网 络 盗窃 案 团伙 成 员 或 多 或 少 都 会 具备 一 定 的 计算 机 专业 技能 ,打击 此 类 犯罪 时 ,由 网 安 部 
门 牵头 ,会 同 刑侦 ` 经 侦 、 治 安 等 其 他 警 种 协同 作战 会 取得 较 好 的 打击 效果 。 


14.7.5 询问 与 讯问 


由 于 被 害 人 年 龄 层次 .知识 水 平和 工作 领域 不 同 ,很 多 被 害 人 对 计算 机 、 移 动 终端 和 网 
络 知识 有 限 , 无 法 说 清 案 件 发 生 的 时 间 过程 等 案件 详细 细节 , 侦查 人 员 在 询问 过 程 中 需要 
耐心 和 细心 ,不厌其烦 地 详细 询问 案件 的 每 个 环节 ,利用 侦查 经 验 发 现 案件 线索 ,尤其 是 关 
键 性 线索 比如 钓鱼 网 站 的 网 址 .盗号 木马 及 嫌疑 人 使 用 的 即时 聊天 工具 等 。 

网 络 盗窃 案件 通常 案情 复杂 、 涉 及 人 员 众 多 ,犯罪 技术 多 样 ` 空 间 跨度 大 .电子 数据 取证 
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困难 ,侦查 人 员 在 讯问 犯罪 嫌疑 人 的 过 程 中 ,要 熟悉 案件 情况 和 关键 线索 情况 ,在 讯问 过 程 
中 利用 审讯 技巧 ,从 不 同 角度 向 犯罪 嫌疑 人 核实 案件 线索 ,了 解 嫌 疑 人 犯罪 手法 ,梳理 出 嫌 
疑 人 的 作案 过 程 并 掌握 关键 性 证 据 。 


14.7.6 现场 勘查 


网 络 盗窃 案件 现场 勘查 需要 注意 以 下 几 点 : 

(1) 注意 发 现 被 害 人 计算 机 中 权限 设置 的 更 改 以 及 涉案 财物 相关 的 遗留 信息 等 ; 

(2) 要 从 局 域 网 异常 现象 中 发 现 犯罪 嫌疑 人 的 蛛丝马迹 ,及 时 保存 提取 可 能 的 涉案 病 
毒 .木马 ,避免 重要 证 据 的 缺失 ; 

(3) 控制 犯罪 嫌疑 人 ,防止 犯罪 嫌疑 人 破坏 现场 ; 

(4) 通过 犯罪 嫌疑 人 对 其 所 使 用 的 作案 工具 的 指认 、 团 伙 老 板 的 指认 固定 犯罪 嫌疑 人 
与 作案 工具 的 关系 ; 

(5) 要 全 面 固定 ,提取 涉案 银行 账户 信息 、 虚 拟 身 份 的 登录 信息 、 病 毒 木 马 的 使 用 情况 、 
钓鱼 网 站 域名 的 注册 信息 等 关键 电子 数据 信息 ,并 与 其 他 证 据 形成 完整 的 证 据 链条 ,为 审讯 
提供 重要 的 依据 。 


14.7.7 侦查 终结 
依据 (公安 机 关 办 理 刑 事 案件 程序 规定 》 第 八 章 第 十 二 节 的 相关 规定 ,网 络 盗窃 案件 侦 


犯罪 性 质 和 罪名 认定 正确 ,法 律 手续 完备 ,依法 应 当 追 究 刑事 责任 。 
于 网 络 盗窃 案件 的 类 型 较 多 ,各 类 案件 的 犯罪 手段 不 尽 相同 ,首先 要 和 弄 清 犯罪 嫌疑 人 
的 作案 方法 , 查 清 网 络 盗窃 的 涉案 资金 数量 ,尤其 是 有 些 类 型 的 盗窃 犯罪 单 笔 数额 较 小 ,但 
盗窃 次 数 多 ,应 当 累 计 网 络 盗窃 资金 数额 ,并 掌握 资金 流向 ,对 在 侦查 中 获取 的 证 据 , 要 形成 
证 据 链 ; 其 次 查 明 网 络 盗窃 的 主要 嫌疑 人 、 主 要 参与 者 的 真实 身份 ,对 于 团伙 作案 的 还 要 查 
明 该 团伙 的 组 织 结构 ,相关 嫌疑 人 在 作案 过 程 中 扮演 的 角色 ,在 犯罪 过 程 中 起 到 的 作用 。 尤 
其 是 团伙 为 了 洗钱 ,将 盗窃 资金 直接 转移 海外 ,还 要 重点 掌握 主要 的 资金 流转 方式 和 结算 
方式 ; 

查 清 以 上 犯罪 情况 , 即 认为 案件 基本 查 清 。 在 进一步 整理 完善 证 据 材 料 , 尤 其 是 主要 证 
据 清楚 的 情况 下 ,可 按照 法 律 手续 ,移交 检察 院 审查 决定 批捕 和 提起 公诉 。 


14.8 网 络 盗窃 案件 的 证 据 要 点 


网 络 盗窃 案件 犯罪 嫌疑 人 是 通过 计算 机 或 网 络 技术 实施 犯罪 的 ,盗窃 案 值 的 认定 比较 
复杂 ,有 些 比较 难以 认定 。 而 且 电 子 数据 取证 具有 时 效 性 、 易 毁 性 以 及 多 地 域 性 等 特点 , 取 
证 难度 巨大 ,因此 要 注意 证 据 的 全 面 性 、 客 观 性 和 合法 性 。 
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网 络 盗窃 案件 主要 通过 互联 网 实施 ,被 盗 物 品 多 为 虚拟 财产 ,涉及 的 证 据 不 但 有 电子 数 
据 , 还 有 书证 物证 。 将 网 络 虚拟 信息 、 犯 罪过 程 . 犯 罪 嫌 疑 人 结合 落地 ,证 据 链 闭合 才能 将 案 
件 完结 。 在 嫌疑 人 认定 方面 ,嫌疑 人 登录 被 害 人 相关 设备 遗留 的 线索 ,域名 注册 信息 ,维护 
后 台 网 络 空间 的 登录 信息 、 进 行 黑客 人 侵 残留 的 信息 ,通过 病毒 分 析出 的 控制 段 地 址 等 ,还 
有 对 被 盗 电 子 资金 进行 取现 时 的 定位 信息 等 。 在 盗窃 行为 认定 方面 ,计算 机 上 的 网 页 信息 、 
病毒 信息 、 日 志 信 息 要 及 时 固定 提取 ,被 资 资金 的 流向 信息 ,比如 转账 记录 转账 PP 记录 要 
通过 规范 程序 固定 。 其 他 虚拟 财产 要 通过 物价 部 门 评估 价值 。 对 于 提取 到 的 恶意 软件 应 提 
交 司 法 鉴定 部 门 进 行 功能 性 检验 ,其 他 数据 ,代码 提交 电子 数据 取证 部 门 按 流程 进行 固定 、 
提取 形成 证 据 材料 。 在 整个 过 程 中 ,要 注意 取证 的 程序 合法 性 和 电子 证 据 鉴 定 的 合 规 性 , 确 
保证 据 确凿 有 效 。 

同时 网 络 盗窃 涉及 的 行 话 暗语 比较 隐 涩 难 懂 , 例 如 "箱子 "里 的 “ 信 ?” 和 银行 卡 中 的 钱 是 
反映 后 果 的 最 直接 证 据 , 在 提起 诉讼 时 ,应 当 加 以 说 明和 解释 。 


14.9 网 络 盗窃 案例 剖析 


网 店 的 信誉 ,并 主动 向 受害 人 发 了 一 个 “ 拍 拍 新 规则 . z” 的 压缩 文件 。 读 好 价 
。。 格 后 ,该 网 友 又 以 支付 宝 充值 可 以 优惠 的 名 义 诱 使 受害 人 多 次 进行 网 银 充 
案例 值 ,充值 后 ,受害 人 查询 发 现 充值 均 未 到 账 ,银行 卡 内 31 600 元 不 知 去 向 。 


网 民 报案 称 在 网 上 购物 支付 时 工行 卡 内 的 31 600 元 被 盗 。 经 详细 了 和 解 ， 
受害 人 在 家 上 网 时 ,一 陌生 QQ 网 友 称 认识 拍 拍 网 公司 的 人 ,能 帮 其 刷 拍 拍 


公安 机 关 经 过 对 受害 人 当时 使 用 的 计算 机 进行 电子 勘 验 发 现 ,“ 拍 拍 新 规则 . 2 的 压缩 
文件 实际 上 是 一 款 名 为 “浮云 "的 木马 程序 。 对 “浮云 ”木马 进行 原理 分 析 后 ,发 现 这 种 木马 
可 以 对 当时 20 多 个 银行 的 网 上 交易 系统 实施 盗窃 。 该 木马 程序 由 一 网 名 为 “GG” 的 人 制作 
销售 ,该 犯罪 团伙 长 期 在 互联 网 上 利用 木马 盗窃 他 人 网 银 账户 内 钱财 。 这 种 病毒 在 受害 人 
使 用 网 银 转 账 过 程 中 ,木马 就 自动 将 收 款 账户 替换 为 木马 设 好 的 嫌疑 人 的 收 款 游 戏 账户 ,在 
受害 人 不 知情 的 情况 下 自 改 转账 金额 ,将 受害 人 网 银 资 金 秘密 转 入 到 犯罪 嫌疑 人 指定 的 游 
戏 账户 。 除 了 具有 一 般 的 网 银 盗 窃 木马 的 功能 外 ,浮云 ?木马 更 具 隐 蔽 性 ,可 以 躲 过 当时 条 
毒 软件 的 查 杀 ,并 且 可 以 根据 银行 卡 内 的 资金 情况 更 改 盗窃 资金 的 额度 ,特别 有 别 于 其 他 木 
马 的 是 "浮云 "木马 的 运行 并 不 依赖 后 台 的 支持 ,而 是 根据 不 同 包 马 人 的 博客 来 控制 盗 取 的 
受害 人 资金 的 数量 和 流向 。 

此 案 公 安 部 挂牌 督办 ,是 截至 目前 全 国 规模 最 大 的 一 起 利用 木马 网 络 盗窃 案 件 。 对 于 
网 络 侵 财 类 案件 侦查 思路 中 有 一 条 主要 线索 就 是 涉案 资金 的 流向 ,无 论 犯 罪 嫌疑 人 的 手法 
如 何 变换 ,他 们 的 目的 只 有 一 个 ,就 是 获得 受害 人 网 银 中 的 财产 ,理想 情况 下 只 要 抓 住 资 金 
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流向 不 放手 就 肯定 能 顺 线 找到 犯罪 嫌疑 人 。 但 是 在 办 案 实践 中 ,资金 流向 的 查证 工作 经 常 
会 因 种 种 原因 而 中 断 。 于 是 我 们 还 要 紧 抓 另 一 条 线索 , 即 犯罪 嫌疑 人 所 使 用 的 作案 工 
具 一 一 木马 。 浮 云 木 马 网 银 资 窃 案 就 是 一 个 很 典型 的 案例 ,通过 对 回溯 出 来 的 信息 参数 进 
行 分 析 , 发 现 信 息 内 包括 后 台地 址 、 窃 取 网 银 金 额 \ 网 银 充 值 接口 (第 三 方 充值 平台 ) .第 三 方 
充值 账号 等 ,通过 这 些 信息 ,成功 抓 住 了 涉案 资金 的 流向 ,对 该 案 的 顺利 侦破 发 挥 了 决定 性 
作用 。 

公安 机 关 经 过 续 密 侦查 ,最终 确 定 此 案 涉及 作案 嫌疑 人 逾 40 人 。 抓 获 “ 浮 云 " 木 马 的 编 
写 者 高 某 、 王 某 。 彻 底 打 掉 了 这 个 犯罪 团伙 。 


14.10 本 章 小 结 


本 章 主要 内 容 是 网 络 盗窃 犯 罪 的 整体 情况 概述 .犯罪 构成 ,类 型 特点 ,发 展 形势 ,侦查 
网 络 盗窃 案件 的 主要 流程 和 侦查 要 点 以 及 典型 案例 分 析 。 并 对 网 络 盗窃 犯罪 的 发 展 趋势 进 
行 了 简要 总 结 。 通 过 本 章 的 学 习 , 和 希望 大 家 能 对 网 络 盗窃 案件 的 发 展 形势 和 整体 趋势 进行 
了 解 ,熟悉 网 络 盗窃 犯罪 的 特点 和 组 织 结构 ,掌握 网 络 赌博 犯罪 的 侦查 思路 和 侦查 要 点 ,以 
及 现场 勘 验 和 证 据 固定 方面 的 基本 知识 。 


思 考 题 


. 简 述 网 络 盗窃 的 概念 。 

. 网络 盗窃 的 类 型 有 哪些 ? 

. 简 述 网 络 盗窃 涉及 的 特有 的 名 词 或 俗语 。 

. 网 络 盗窃 的 主要 组 织 结构 有 哪些 ? 

. 在 案件 中 面 对 未 知 可 执行 文件 如 何 分 析 线 索 ? 

.2014 年 , 某 市 公安 局 接 淘宝 店主 报警 称 , 有 ”客户 "以 定做 服装 的 名 义 发 送 “ 图 片 ”， 
致使 手机 被 植 人 木马 ,损失 近 2 万 元 。 经 查 , 该 案 主要 实施 植 人 木马 犯罪 嫌疑 人 为 罗 某 , 罗 
某 假借 订 做 服装 名 义 向 受害 人 手机 发 送 样品 “图 片 ”, 致 使 受害 人 手机 被 植 人 木马 。 其 次 罗 
某 通 过 嫌疑 人 张 某 查询 被 害 人 身份 证 .银行 卡 等 信息 ,最 后 利用 以 上 信息 将 受害 人 卡 内 余额 
洗 出 至 刘 某 处 销赃 变现 。 此 案 共 抓 获 涉案 犯罪 嫌疑 人 多 名 。 其 中 木马 作者 2 名 、 手 机 木马 
代理 商 4 名 、\ 木 马 免 杀人 2 名 、 包 马 人 19 名 洗钱 人 7 名 、\ 收 卡 人 2 名 、 利 用 伪 基 站 发 送 钓鱼 
信息 人 工 名 ,成 功 的 毁 了 这 一 系列 利用 手机 木马 实施 盗窃 的 犯罪 团伙 。 请 分 析 犯 罪 团 伙 的 
组 织 结构 并 说 明 罗 某 、 张 某 和 刘 某 所 处 的 组 织 结构 层次 。 


> 


网 络 赌博 案件 侦查 


本 章 学 习 目 标 

。 网 络 赌博 的 概念 

。 网 络 赌博 的 犯罪 构成 

。 网 络 赌 博 的 类 型 和 特点 、 运 营 方式 

。 网 络 赌博 案件 的 法 律 约 束 

。 网 络 赌博 案件 的 侦查 要 点 

。 网 络 赌博 案件 的 证 据 要 点 

。 网 络 赌博 案例 剖析 

网 络 赌博 案件 是 网 络 犯罪 侦查 实践 中 常见 的 违法 犯罪 案件 类 型 ,由 于 网 络 赌博 活动 能 
够 带 来 巨额 非法 获 利 , 导 致 展 禁 不 止 、 屡 打 不 绝 。 本 章 通过 介绍 网 络 赌博 案件 的 现状 、 特 点 
和 发 展 趋势 ,详细 阐述 网 络 赌博 案件 的 管辖 ,立案 审查 、 侦 查 方法 .取证 要 点 等 ,以 达到 掌握 
网 络 赌博 案件 侦查 工作 的 目的 。 


15.1 网 络 赌博 的 概念 


赌博 是 利用 棋牌 . 色 子 等 作为 工具 ,使 用 有 价值 的 东西 做 注 码 来 赌 输赢 的 游戏 ,任何 赌 
博 在 不 同 的 文化 和 历史 背景 都 有 不 同 的 意义 。 在 西方 社会 中 , 它 有 一 个 经 济 的 定义 ,是 指 
“对 一 个 事件 与 不 确定 的 结果 ,下 注 钱 或 具 物 质 价值 的 东西 ,其 主要 目的 为 赢 取得 更 多 的 金 
钱 或 物质 价值 ”, 一 般 赌博 定义 为 用 财物 作 赌 注 , 以 偶然 事实 的 出 现 决定 输赢 的 活动 ,包括 了 
用 财物 作 赌注 和 偶然 事实 两 个 要 件 。 
我 国 刑法 中 规定 的 赌博 罪 , 是 指 以 营利 为 目的 ,聚众 赌博 开设 赌场 或 者 以 赌博 为 业 的 
行为 。 近 年 来 ,互联 网 广泛 普及 ,网 银 支付 “第 三 方 担保 交易 模式 ”等 网 络 支付 方式 普遍 使 
用 ,网 络 游戏 、 网 络 棋牌 技术 应 用 快速 发 展 , 网 络 赌博 犯罪 在 我 国 迅速 蔓延 ,一 度 呈 现 出 高 发 
趋势 。 与 传统 的 线 下 赌博 相 比 ,网 络 赌博 不 受 时 间 地 域 限 制 :游戏 、 投 注 ,资金 交易 都 可 以 通 
过 网 络 平台 随时 随地 进行 ,更 加 快捷 方便 ,赌博 频次 更 高 ,赌资 金额 更 大 ,社会 危害 性 也 更 
为 严重 。 
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根据 最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 联合 出 台 的 (关于 办 理 网 络 赌博 犯罪 案件 
适用 法 律 若 干 问题 的 意见 ,网 络 周 博 案件 ,就 是 以 营利 为 目的 ,在 网 络 上 开设 赌场 .聚众 赌 
博 或 以 赌博 为 业 的 刑事 案件 。 具 体 来 讲 , 在 计算 机 网 络 上 建立 赌博 网 站 ; 或 者 为 赌博 网 站 
担任 代理 ,接受 投注 ; 或 明知 他 人 实施 赌博 犯罪 活动 ,而 为 其 提供 资金 .计算 机 网 络 、 通 讯 、 
费用 结算 等 直接 帮助 ,都 是 网 络 赌博 案件 的 事实 要 件 。 


15.2 网 络 赌博 的 犯罪 构成 


15.2.1 犯罪 主体 


我 国 对 网 络 赌博 犯罪 的 主体 规定 为 一 般 主 体 , 凡 达到 法 定 刑事 责任 年 龄 且 具 备 刑事 责 
任 能 力 的 自然 人 均 能 构成 本 罪 。 


15.2.2 犯罪 客体 


网 络 赌博 犯罪 侵犯 的 是 社会 风尚 和 社会 管理 秩序 ,赌博 不 仅 危 害 社 会 秩序 ,影响 生产 、 
工作 和 生活 ,而 且 往往 是 诱发 其 他 犯罪 的 温床 ,对 社会 危害 很 大 。 


15.2.3 犯罪 的 主观 要 件 


网 络 赌博 犯罪 在 主观 方面 表现 为 故意 ,并且 以 营利 为 目的 ,即行 为 人 聚众 赌博 或 者 一 贯 
参加 赌博 ,是 为 了 获取 钱财 ,而 不 是 为 了 消 遗 .娱乐 。 以 营利 为 目的 并 不 是 说 行为 人 一 定 要 
赢得 钱财 ,只 要 是 为 了 获取 钱财 ,即使 实际 上 未 能 赢得 钱财 甚至 输 了 钱 ,也 不 影响 行为 人 具 
备 赌博 罪 的 主观 要 件 。 


15.2.4 犯罪 的 客观 要 件 


赌博 罪 在 客观 方面 表现 为 聚众 赌博 或 者 以 赌博 为 业 的 行为 。 所 谓 聚 众 赌博 ,是 指 组 织 、 
招引 多 人 进行 赌博 ,而 从 中 抽 头 渔 利 ,这 种 人 俗称 “ 赌 头 ”, 赌 头 本 人 不 一 定 直接 参加 赌博 。 
所 谓 以 赌博 为 业 , 是 指 嗜 赌 成 性 ,一 贯 赌博 ,以 赌博 所 得 为 其 生活 来 源 ,这 种 人 俗称 “ 赌 棍 ”， 
只 要 具备 聚众 赌博 或 以 赌博 为 业 的 其 中 一 种 行为 , 即 符合 赌博 罪 的 客观 要 件 。 网 络 赌博 犯 
罪 在 客观 方面 表现 为 开设 赌场 ,发 展会 员 .赌资 流转 ,为 网 络 赌博 提供 技术 支持 和 维护 等 聚 
众 赌博 行为 和 以 赌博 为 业 的 行为 。 


15.3 网 络 赌博 犯罪 的 类 型 


网 络 赌博 一 般 按 照 赌博 形式 分 类 可 以 分 为 专业 型 、 隐 项 型 和 时 彩 型 三 种 ,专业 型 是 指 专 
门 的 网 络 赌球 、 网 上 棋牌 .实时 在 线 赌博 等 专业 赌博 网 站 ; 隐蔽 型 指 依托 专业 网 络 游戏 平台 
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等 实施 的 网 络 赌博 ,时 彩 型 指 根据 国家 合法 彩票 经 营 的 开奖 数据 进行 的 网 络 赌博 。 

1. 专业 型 

此 种 类 型 主要 有 百 家 乐 .21 点 、 老 虎 机、 押 大 小 、 赌 球 、 赌 马 、 轮 盘 赌 、 六 合 彩 等 ,其 中 以 
赌球 最 为 盛行 。 参 赌 人 员 可 以 通过 购买 点 卡 或 其 他 方式 获取 赌注 ,并 以 之 作为 赌资 与 网 上 
其 他 参 赌 人 员 一 起 博弈 输赢 。 参 财 人 员 在 游戏 中 获取 的 点 数 则 可 以 通过 虚拟 物品 交易 , 竞 
换 成 现实 中 的 货币 。 这 些 例 然 成 为 虚拟 赌场 ,给 参 财 人 员 提 供 场地 和 赌 具 , 然 后 通过 售卖 赌 
场 使 用 权 或 筹码 (赌博 时 间 和 能 够 兑换 虚拟 货币 的 点 卡 ) 来 坐 收 渔 伟 之 利 。 某 专业 赌场 型 网 
络 赌博 网 站 如 图 15. 1 所 示 。 


1159.59 [ 匡 河 ] 更 新 时 间 : 2010/02/28 053137 驾 末 日 期 : 2010102/26 120000 - 2010/02/28 11.59.59 77629a 77629a 下 线 有 投注 会 员 纺 人 数 : 2 
国 吕 已 投注 金 骆 | 赢 输 金 杨 | 庭 码 量 | ”大 别 加 洗 码 比 | 洗 码 佣金 EE 分 成 | 代理 交 
明细 | 代理 77629a 0 0 真人 A 9000 
明细 | 代理 77629a -5 5 A 0800 -5 000 
图 细 | 请 员 77629a 106.205 1721 102.930 真人 -897 90.00 
直属 客户 输赢 明 纪 
| | 级 别 | 用 户 各 和 | 投注 爹 额 | 高 办 金额 | 洗 码 显 | ， 基 别 FE EECTNIEEEEEE 
明细 | 会员 dng05752 8,905 2,280 8.880 真人 0000 0 2,280 
明细 | 言 员 dng05752 5 -5 5 真人 Jackpot A 0000 0 -5 
明细 | 但 员 nsg23668 97,300 -4.000 94.050 真人 0000 0 -4000 


I DD EE 
图 15.1 专业 赌场 型 的 网 络 赂 博 网 站 


2. 隐 菩 型 

此 种 类 型 主要 表现 为 游戏 服务 商 在 游戏 中 加 入 一 些 类 似 老虎 机 或 抽 彩 票 之 类 的 小 游 
戏 。 玩 家 则 通过 购买 点 卡 获取 相应 的 电子 货币 来 参与 这 些 博彩 游戏 。 如 果 幸 运 ,玩家 就 
能 够 赢 取 点 数 ,或 者 一 些 特殊 的 极品 装备 。 而 对 于 这 些 虚 拟 财产 ,玩家 既 可 以 自己 使 
以 获取 更 多 的 游戏 快感 ,也 可 以 通过 虚拟 交易 兑换 成 现实 的 货币 。 这 种 赌博 方式 隐蔽 性 
较 强 , 与 正规 网 络 游戏 的 区 别 主要 在 于 游戏 服务 商 是 否 提供 将 游戏 币 点 数 、 装 备 竞 换 成 货币 
的 服务 。 

3. 时 彩 型 

此 种 类 型 模拟 国家 福利 彩票 中 的 3D 和 “重庆 时 彩 ”, 赌博 投注 方法 和 开奖 结果 都 与 国 
家 福利 彩票 中 心 的 一 样 ,并 以 国家 福彩 中 心 发 布 的 彩票 开奖 结果 进行 兑奖 ,但 网 络 赌博 平台 
发 布 的 中 奖金 额 比 国家 福彩 中 心 发 布 的 几乎 高 出 一 倍 。 某 时 彩 型 网 络 赌博 网 站 如 图 15. 2 
所 示 。 


而 
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尝 结 果 家 要 有 陵 了 


ey 
[CEIEE REE WEIOEE 


三 让 合 息 重庆 时 时 彩 整合 今日 办 看 :82.000 20150118056M#f 交 (3) (0) (9) (3) 
账号 : | 138888(A) |20150118057 基 中 朗 封 全: 07:08 中 高 开奖 : 08:38 
信用 三 度 : | 5000 | Dm a 确定 “重生 
信用 休 颜 : 86999 第 一 球 第 - 球 第 三 球 第 四 球 第 五 球 全 和 - 龙 虎 和 
已 TE 出; | 0 大 1987 | 大 | 1987 | 大 | 1987 | 大 | 1987 | 大 1987 | 和 0 1.98: 
Ep 小 1987 | 小 | 1987 | 小 | 1987 | 小 | 1987 | 小 | 1987 | 号 | 198 
开奖 网 站 导航 得 | 1967 | 单 1.987 得 1987 | 和 音 1967 | 皇 1.987 a 1.98; 
mr 人 六 1987 | 到 | 1987 | 有 | 1987 | 涡 | 1987 | 观 | 1987 WW | .980 
加 99%2 加 sm 9 9 0 9% 加 9%9 龙 1.98 
EE i DD 9 OD 9% I so% OW 2 OO) %o 更。 1.98 
bs ED) so | 加 | se | 回 | se | 加 | sm | 回 | sm jn) sz 
快乐 9- 加 拿 大 ss%2 | ss I sm | 回 | % | 回 | 9%oa [nm 
最 新 注音 (OD) 9 9 9 加 992 辐 9 加 992 97 85 
| oo [9 oo | oo | 加 | so |O| oo [mr| 16 
(9 9 | 9 (9 9 | 9 回 %% 对 36 
1 


图 15.2 时 彩 型 的 网 络 赌博 网 站 


15.4 网 络 赌博 犯罪 的 特点 


与 传统 的 赌博 相 比 ,网 络 赌博 具有 以 下 几 个 特点 。 

1. 隐藏 性 强 

与 传统 赌博 方式 不 同 , 网 络 赌博 采用 的 是 计算 机 网 络 和 电子 支付 平台 进行 投注 和 交易 ， 
因此 ,只 要 具备 电脑 和 互联 网 ,并 懂得 相关 网 络 知识 ,无 论 在 何 时 何 地 ,任何 人 都 可 以 通过 电 
脑 上 网 进行 赌博 。 网 络 赌博 的 投注 时 间 短 ,资金 交换 便利 ,无 须 现金 交易 , 参 赌 者 不 必 看 到 
对 方 是 谁 ,只 要 轻 点 手 上 鼠标 即 可 完成 一 次 投注 和 交易 ,因此 ,隐蔽 性 比较 强 。 

2. 虚拟 性 

计算 机 网 络 的 一 个 显著 特点 就 是 空间 的 虚拟 性 和 时 间 的 无 限制 性 ,所 有 的 交往 和 行为 
都 是 通过 一 种 数字 化 的 形式 来 完成 的 , 即 通过 电话 线 、 网 线 、 光 缆 、 有 线 电视 网 、 卫 星 传送 等 
方式 将 世界 连 成 一 片 。 由 于 网 络 赌博 是 发 生 在 网 络 空间 内 ,主要 采用 数字 化 的 形式 来 完成 ， 
因此 ,无 论 何 时 何 地 ,对 于 “经 营 者 ”来 讲 , 仅 需 一 台 或 数 台 服务 器 就 可 以 经 营 * 赌 场 ”;， 而 对 
于 “ 参 赌 人 员 ? 而 言 , 只 要 有 一 台电 脑 能 够 登录 网 站 就 可 以 下 注 进 行 赌博 。 基 于 以 上 原因 ,网 
络 赌博 犯罪 并 不 像 传统 赌博 犯罪 一 样 需要 投注 者 在 特定 时 间 点 或 时 间 段 内 同时 出 现在 一 个 
现实 的 空间 里 ,网 络 赌博 犯罪 行为 地 与 犯罪 结果 地 往往 是 不 同 的 。 也 就 是 说 ,犯罪 嫌疑 人 所 
在 地 、 犯 罪行 为 发 生地 、 网 络 服务 器 所 在 地 以 及 网 络 服务 运营 商 所 在 地 等 可 以 不 在 同一 个 地 
区 ,甚至 可 以 不 在 同一 个 国家 ,超越 了 传统 的 线 下 赌博 犯罪 的 地 域 限制 。 
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3. 技术 性 和 专业 性 强 

网 络 赌博 犯罪 是 一 种 基于 高 科技 的 互联 网 技术 与 现代 金融 手段 相 结合 的 新 型 犯罪 。 首 
先 表现 为 ,赌博 软件 的 开发 和 赌博 网 站 的 日 常 维护 都 由 一 批 掌握 计算 机 和 互联 网 技术 的 “ 专 
家 ?完成 ,赌博 网 站 为 了 逃避 司法 机 关 的 查处 会 不 断 变换 自己 的 域名 和 IP 地 址 ,采用 各 种 方 
法 隐藏 ,消除 网 络 赌博 的 痕迹 ; 其 次 表现 为 赌资 大 多 采用 电子 货币 方式 ,犯罪 行为 的 资金 交 
换 往往 十 分 快捷 。 

4. 犯罪 成 本 和 风险 低 

“便捷 ?是 网 络 赌博 最 大 的 “优势 "。 网 上 赌博 没有 场所 ,全 天 候 开放 ,通过 电子 银行 完成 
支付 交易 ,其 运营 成 本 十 分 低廉 。 

通常 而 言 ,网 络 赌博 平台 的 经 营 者 只 需 架设 一 台 服 务 器 ,利用 电子 货币 保障 其 资金 有 效 
流转 就 可 开设 网 络 赌场 了 ,其 经 营 不 受 时 间 和 空间 限制 ,运营 成 本 远 低 于 传统 赌场 。 而 对 于 
参 财 人 员 而 言 , 只 要 有 能 够 上 网 的 电脑 就 可 以 下 注 进行 赌博 ,只 须 在 电脑 上 散 击 几 下 键盘 或 
点 几 下 鼠标 即 可 完成 赌博 全 过 程 , 参 赌 人员 很 容易 被 这 种 便捷 的 操作 所 吸引 。 

5. 参 赌 人员 呈 低龄 化 趋势 ,. 且 具有 一 定 的 文化 水 平 

网 络 赌博 是 以 计算 机 网 络 以 及 现代 通信 技术 为 手段 进行 的 赌博 活动 ,因此 需要 参 财 人 
员 具 有 一 定 的 文化 知识 和 网 络 技能 ,否则 ,他们 将 无 法 独立 完成 赌博 过 程 中 的 电脑 和 网 络 操 
作 。 而 在 当今 社会 ,能 够 熟练 操作 计算 机 网 络 的 一 般 都 是 年 轻 人 ,在 十 四 到 四 十 岁 之 间 ,而 
且 大 多 数 接受 过 初中 以 上 的 文化 教育 。 


15.5 网 络 赌博 的 运营 方式 


15.5.1 网 站 架设 


赌博 团伙 一 般 采 取 自 主 开发 .购买 软件 .租用 赌博 平台 等 方式 开设 网 站 。 具 有 和 较 强 实力 
的 赌博 团伙 会 自主 开发 赌博 网 站 程序 ,建设 自己 的 赌博 网 站 ,也 有 部 分 赌博 团伙 采取 购买 专 
业 的 赌博 网 站 程序 的 方式 ,使 用 通用 的 赌博 网 站 程序 建立 赌博 网 站 。 随 着 网 络 赌博 黑色 产 
业 的 发 展 ,专业 分 工 越 来 越 细 化 ,出 现 了 专门 的 建设 赌博 网 站 的 团伙 组 织 , 建 设 多 个 平台 后 ， 
出 租 、. 出 售 给 其 他 人 经 营 。 


15.5.2 会 员 发 展 


赌博 网 站 开通 运行 后 ,需要 吸引 会 员 到 平台 注册 .下 注 , 从 事 赌博 活动 。 会 员 发 展 是 财 
博 网 站 运行 初期 和 发 展期 间 的 一 项 重要 活动 。 利 用 代理 制度 层 层 发 展 吸 收 会 员 是 一 种 非常 
有 效 的 快速 推广 方式 ,如 在 某 网 络 赌博 案件 中 ,犯罪 嫌疑 人 张 某 从 上 线 股 东 处 获得 888 六 全 
彩 赌博 网 站 总 代理 资格 后 .发展 犯罪 嫌疑 人 贺 某 等 4 个 下 级 代理 ,4 个 下 级 代理 发 展 多 个 
级 代理 ,二 级 代理 发 展 大 量 会 员 , 会 员 用 各 自 账号 下 注 参 赌 。 一 年 时 间 ,发 展 参 赔 人 员 上 
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而 大 。 

为 逃避 打击 ,网 络 赌博 违法 犯罪 人 员 利 用 网 络 跨 市 、 跨 省 , 跨 境 遥控 指挥 ,经 常 采 取 异 地 
发 展 下 线 的 方式 进行 异地 投注 ,大 庄家 与 小 庄家 ,小 庄家 与 写 单 人 之 间 由 单一 封闭 式 熟 人 群 
体 转变 为 通过 网 络 向 陌生 人 群体 发 展 。 


15.5.3 赌资 扫 头 


赌博 网 站 利用 代理 制度 吸引 会 员 ,为 增强 各 级 代理 的 积极 性 ,给 予 各 级 代理 一 定 的 抽 头 
比例 ,有 的 赌博 网 站 给 代理 一 定 的 返利 范围 ,上 级 代理 可 以 为 下 级 代理 设 定 抽 头 的 比例 , 某 
赌博 网 站 返点 比例 设置 如 图 15. 3 所 示 。 网 站 各 级 代理 一 般 按照 下 线 会 员 的 赌资 量 比例 抽 
头 ,也 有 的 网 站 代理 不 再 纯粹 依靠 抽取 酬金 的 方式 获 利 ,而 是 在 收取 下 家 投注 后 ,一 部 分 利 
用 网 络 向 上 家 投注 ,另外 一 些 自 认 为 不 可 能 中 奖 的 部 分 投注 由 自己 坐庄 。 

用 户 。 开户 / 调 点 | 配 是 管理 | 可 词 | 在 注 | 自助 注册 入 口 管理 报表 最 夺 概 表 | 充值 溉 表 | 控 现 报表 
奖 基 及 注 单 重庆 SSC | 北京 PK10 | 江西 SSC | 新 组 SSC | 河南 481 | 山东 11x5 | 上 海 11x5 | 江苏 K3 | 吉林 K3 | 3D | 欢乐 三 分 考 | 幸运 分 分 六 
新 开 账户 


用 户 名 [| ”| 初始 密码 至 96 位 
用 户 返 奖 率 二 | 96. % 或 您 的 保 冠 返点 | 0. % 
输入 右边 图 片 中 的 数字 E50 
ET 


类 的 奖级 为 1940 (后 美 去 97%) 用 户 奖级 为 1938. 你 的 保 蛙 返 点 为 0.1 % 


图 15.3 返点 比例 设置 


15.5.4 资金 流转 


在 境内 运行 的 赌博 网 站 一 般 采 取 购 买 多 个 银行 卡通 过 多 次 转账 分散 取款 的 方式 实现 
非法 资金 转移 。 目 前 ,多 数 赌博 网 站 都 集中 在 境外 开展 业务 ,一 般 通 过 地 下 钱庄 洗钱 的 方式 
将 资金 转移 到 境外 。 


15.6 ”网络 赌 博 案件 的 法 律 约束 


网 络 赌博 是 赌博 罪 的 一 种 形式 ,对 赌博 罪 的 相关 的 法 律 法 规 都 对 其 适用 。 我 国 历来 是 
禁止 和 打击 赌博 和 网 络 赌博 的 ,全 国人 大 、 国 务 院 .最 高 人 民法 院 、. 最 高 人 民 检 察 院 ` 公 安 部 、 
财政 部 .中 国人 民 银 行 、 新 闻 出 版 总 署 等 国家 机 关 都 相继 出 台 过 一 系列 的 法 律 法 规 \ 办 法 、 通 
知 等 文件 。 例 如 : 

。《 中 华人 民 共 和 国 刑法 》; 

。《 中 华人 民 共 和 国治 安 管理 处 罚 法 》; 

。《 关 于 办 理 赌博 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 》; 
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。《 关 于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 》; 
《电信 条 例 》; 

《出 版 管理 条 例 》; 

。《 互 联网 信息 服务 管理 办 法 》; 

。《 非 金融 机 构 支 付 服务 管理 办 法 》; 

*。《 网 络 游戏 管理 暂行 办 法 》; 

《关于 禁止 利用 网 络 游戏 从 事 赌 博 活动 的 通知 》; 

。《 关 于 规范 网 络 游戏 经 营 秩序 查禁 利用 网 络 游戏 赌博 的 通知 》; 
《关于 坚决 打击 赌博 活动 ,大 力 整 顿 彩票 市 场 秩序 的 通知 》。 
下 面 介绍 其 中 的 一 些 相关 条 款 。 


15.6.1 《中 华人 民 共 和 国 刑法 》 


第 二 百 八 十 七 条 ”利用 计算 机 实施 金融 诈骗 、 资 窃 、 贪 污 、 挪 用 公款 、 窃 取 国 家 秘密 或 者 
其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

第 三 百 零 三 条 ”以 营利 为 目的 ,聚众 赌博 ` 开 设 赌场 或 者 以 赌博 为 业 的 ,处 三 年 以 下 有 
期 徒刑 .拘役 或 者 管制 ,并 处 罚金 。 


15.6.2 《关于 办 理 赌博 刑事 案件 有 具体 应 用 法 律 阁 干 问题 的 解释 》 


第 一 条 规定 : 以 营利 为 目的 ,有 下 列 情形 之 一 的 ,属于 刑法 第 三 百 零 三 条 规定 的 “聚众 
赌博 ”: (一 ) 组 织 3 人 以 上 赌博 , 抽 头 渔 利 数额 累计 达到 5000 元 以 上 的 ; (二 ) 组 织 3 人 以 上 
赌博 ,赌资 数额 累计 达到 5 万 元 以 上 的 ; (三 ) 组 织 3 人 以 上 赌博 , 参 赌 人 数 累 计 达 到 20 人 
以 上 的 ; (四 ) 组 织 中 华人 民 共 和 国 公民 10 人 以 上 赴 境 外 赌博 .从 中 收取 回扣 、 介 绍 费 的 。 

第 二 条 规定 : 以 营利 为 目的 ,在 计算 机 网 络 上 建立 赌博 网 站 ,或 者 为 赌博 网 站 担任 代 
理 , 接 受 投注 的 ,属于 刑法 第 三 百 零 三 条 规定 的 “开设 赌场 "。 

15.6.3 《关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 阁 干 问题 的 意见 》 

意见 规定 ,利用 互联 网 ,移动 通讯 终端 等 传输 赌博 视频 数据, 组织 赌博 活动 ,具有 下 列 
情形 之 一 的 ,属于 刑法 第 三 百 零 三 条 第 二 款 规定 的 “开设 赌场 ”行为 ， 

(一 ) 建立 赌博 网 站 并 接受 投注 的 ; 

(二 ) 建立 赌博 网 站 并 提供 给 他 人 组 织 赌博 的 ; 

(三 ) 为 赌博 网 站 担任 代理 并 接受 投注 的 ; 

(四 ) 参与 赌博 网 站 利润 分 成 的 。 


15.6.4 《治安 管理 处 罚 法 》 
第 七 十 条 ”以 营利 为 目的 ,为 赌博 提供 条 件 的 ,或 者 参与 赌博 赌资 较 大 的 ,处 5 日 以 下 
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拘留 或 者 500 元 以 下 罚款 ; 情节 严重 的 ,处 十 日 以 上 15 日 以 下 拘留 ,并 处 500 元 以 上 3000 
元 以 下 罚款 。 


15.6.5 《出 版 管理 条 例 》 


第 二 十 六 条 规定 : 任何 出 版 物 不 得 含有 下 列 内 容 : (七) 宣扬 淫秽 赌博、 暴力 或 者 教唆 
犯罪 的 。 


15.6.6 《互联 网 信息 服务 管理 办 法 》 


第 十 五 条 规定 : 互联 网 信息 服务 提供 者 不 得 制作 、 复 制 , 发 布 ,传播 含有 下 列 内 容 的 信 
息 : (七 ) 散 布 淫 秽 、 色 情 、 赌 博 、 暴 力 、 凶 杀 、 疏 怖 或 者 教唆 犯罪 的 。 


15.6.7 《网 络 游 戏 管理 暂行 办 法 》 


第 三 章 第 九条 规定 : 网 络 游戏 不 得 含有 以 下 内 容 : (七 ) 宣 扬 淫秽 、 色 情 、 赌 博 .暴力 ,或 
者 教唆 犯罪 的 ; 

第 十 八条 规定 : 网 络 游戏 经 营 单位 应 当 遵守 以 下 规定 : (三 ) 不 得 以 随机 抽取 等 偶然 方 
式 , 诱 导 网 络 游戏 用 户 采取 投入 法 定货 币 或 者 网 络 游戏 虚拟 货币 方式 获取 网 络 游戏 产品 和 
服务 。 
15.6.8 《关于 禁止 利用 网 络 游戏 从 事 赌博 活动 的 通知 》 

《关于 禁止 利用 网 络 游戏 从 事 赌博 活动 的 通知 ?规定 : 1. 各 网 络 游戏 研发 .出 版 运营 机 
构 不 得 研发 .出 版 运营 各 类 赌博 游戏 或 变相 赌博 游戏 。2. 各 网 络 游戏 出 版 运营 单位 不 得 以 
任何 名 义 、 任 何 形式 为 各 类 网 络 赌博 游戏 以 及 其 他 赌博 活动 提供 平台 、 工 具 或 服务 。3. 各 网 
站 不 得 为 各 种 赌博 游戏 或 变相 赌博 游戏 软件 提供 下 载 服 务 ,不 得 登载 或 链接 任何 有 关 宣 扬 
赌博 游戏 或 变相 赌博 游戏 的 信息 和 广告 。 
15.6.9 《关于 坚决 打击 赌博 活动 .火力 整顿 彩票 市 场 秩序 的 通知 ) 

《关于 坚决 打击 赌博 活动 .大力 整顿 彩票 市 场 秩序 的 通知 ?规定 :“ 凡 未 经 国务 院 批准 擅 
自发 行 彩票 或 以 有 奖 销售 为 名 发 行 彩票 .或 以 一 定价 款 给 付 为 前 提 , 公 开 组 织 对 某 种 竞赛 进 
行 竞猜 ,参与 者 可 根据 其 给 付 价款 和 竞猜 结果 获得 中 奖 权利 的 行为 , 均 属 非法 发 行 或 变相 发 
行 彩票 的 赌博 行为 。” 
15.6.10 《关于 规范 网 络 游戏 经 营 秩序 查 蔡 利用 网 络 游戏 赌博 

的 通知 》 

《关于 规范 网 络 游戏 经 营 秩 序 查禁 利用 网 络 游戏 赌博 的 通知 ) 中 有 关 赌 博 的 要 求 是 : 

“五 ,依法 打击 利用 网 络 游戏 进行 的 赌博 活动 。 公 安 机 关 要 加 大 对 利用 网 络 游戏 赌博 的 侦 
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查 、 打 击 力度 ,及 时 做 好 取证 和 查处 工作 。 重 点 打击 利用 网 络 游戏 开设 网 上 赌局 .坐庄 设 赌 
“抽水 "等 网 络 赌博 活动 。 对 以 营利 为 目的 ,为 网 络 赌博 活动 提供 网 上 赌博 场所 、 赌 具 和 网 络 
赌博 筹码 交易 .兑换 现金 等 便利 条 件 的 ,要 依法 严厉 查处 。” 


15.7 网 络 赌博 案件 的 侦查 要 点 


近年 来 , 随 着 网 络 普及 和 网 络 支付 的 完善 ,网 络 赌博 活动 非常 活跃 ,不 少 迷恋 上 网 络 赌 
博 的 人 ,在 网 络 赌博 中 损失 巨大 ,严重 影响 了 社会 管理 秩序 。 另 外 ,网 络 赌博 不 需要 进行 现 
金 交易 ,为 洗钱 犯罪 提供 了 便利 条 件 , 有 数据 显示 ,境外 网 络 赌博 每 年 从 我 国 抽 走 上 千 亿 资 
金 ,造成 我 国资 金 严重 外 流 。 近 年 来 .全国 公安 机 关 和 各 有 关 部 门 密切 配合 ,集中 开展 了 多 
次 整治 网 络 赌博 违法 犯罪 活动 的 专项 行动 以 及 清理 网 络 赌博 、 网 络 黑市 等 专项 行动 ,陆续 侦 
破 了 一 批 网 络 赌博 案件 ,遏制 了 网 络 赌博 蔓延 的 局 面 。 


15.7.1 案件 管辖 


网 络 赌博 犯罪 的 地 域 管辖 ,应 当 坚持 (刑事 诉讼 法 ?规定 的 以 犯罪 地 管辖 为 主 、 被 告 人 居 
住地 管辖 为 辅 的 原则 。《 关 于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 》 对 于 网 络 赌 
博 犯 罪案 件 的 管辖 作出 了 更 为 明确 具体 的 规定 ,考虑 到 网 络 赌博 犯罪 的 特殊 性 , 即 赌博 网 站 
服务 器 所 在 地 、 网 络 接 入 地 、 赌 博 网 站 建立 者 等 可 能 不 在 同一 地 区 ,而 且 网 络 赌博 犯罪 大 多 
是 共同 犯罪 ,参与 犯罪 的 多 个 被 告 人 也 可 能 来 自 不 同 地 区 ,因此 网 络 赌博 犯罪 “犯罪 地 ”包括 
赌博 网 站 服务 器 所 在 地 、 网 络 接 入 地 ,赌博 网 站 建立 者 ,管理 者 所 在 地 ,以 及 赌博 网 站 代理 
人 、 参 财 人 实施 网 络 赌博 行为 地 等 。 

网 络 赌博 一 般 是 利用 在 互联 网 络 建设 的 赌博 网 站 平台 组 织 赌博 ,大 部 分 赌博 网 站 平台 
需要 多 台 服 务 器 ,并 且 服 务 器 分 布 在 不 同 的 机 房 。 不 同 的 网 站 服务 器 架构 不 同 , 最 基本 的 由 
一 台 Web 服务 器 组 成 ,复杂 的 会 包括 独立 的 数据 库 、 中 间 件 、Web、 负 载 均 衡 等 多 台 服 务 器 
构成 ,这 些 服务 器 可 能 分 布 在 不 同 的 地 理 位 置 , 每 个 位 置 都 属于 服务 器 所 在 地 。 

实践 中 ,网 络 赌博 犯罪 行为 往往 涉及 多 个 省 (自治 区 直辖市), 而 且 共同 作案 人 往往 也 
来 自 不 同居 住地 。 依 照 刑 诉 法 和 前 述 规定 ,所 涉及 地 域 的 有 关 司 法 机 关 对 这 些 网 络 赌博 犯 
罪案 件 均 有 管辖 权 , 从 而 在 实际 办 案 中 可 能 造成 有 管辖 权 的 司法 机 关 之 间 的 管辖 争议 或 者 
互相 推 请 ,从 而 影响 及 时 追 赃 、 缉 捕 犯 罪 嫌 疑 人 ,影响 及 时 起 诉 和 审判 。 为 解决 这 一 问题 ， 
《关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 ) 规 定 : 公安 机 关 对 侦办 跨 区 域 网 络 
赌博 犯罪 案件 的 管辖 权 有 争议 的 ,应 本 着 有 利于 查 清 犯 罪 事 实 、 有 利于 诉讼 的 原则 ,认真 协 
商 解决 。 经 协商 无 法 达成 一 致 的 , 报 共同 的 上 级 公安 机 关 指 定 管辖 。 对 即将 侦查 终结 的 跨 
省 (自治 区 、 直 辖 市 ) 重 大 网 络 赌博 案件 ,必要 时 可 由 公安 部 商 最 高 人 民法 院 和 最 高 人 民 检 察 
院 指 定 管辖 。 人 民法 院 和 检察 院 对 进入 起 诉 或 审判 诉讼 程序 而 没有 管辖 权 的 案件 , 受 案 单 
位 可 报请 上 级 机 关 指 定 管辖 ,而 不 再 移送 其 他 司法 机 关 管 辖 。 
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15.7.2 立案 审查 


根据 案件 管辖 的 相关 规定 ,网 络 赌博 犯罪 属于 公安 机 关 立 案 管 辖 的 犯罪 类 型 。 公 安 机 
关 受 理 报案 或 举报 的 网 络 赌博 线索 后 ,需要 对 相关 报案 材料 及 线索 进行 审查 ,明确 是 否 存在 
违法 犯罪 事实 ,是 否 需要 追究 刑事 责任 ,是 否 属于 自己 管辖 范围 内 ,符合 上 述 条 件 的 案件 ,经 
县 级 以 上 公安 机 关 负 责 人 批准 后 可 以 进行 立案 。 立 案 审查 涉及 的 关键 环节 包括 如 下 几 个。 

1. 案件 来 源 的 审查 

实际 的 侦查 工作 中 ,由 于 网 络 赌博 犯罪 的 隐 项 性 ,公安 机 关 专 门 工 作 发 现 ,犯罪 嫌疑 人 
供述 、 群 众 举 报 等 是 发 现 网 络 赌博 犯罪 案件 线索 的 主要 来 源 。 

2. 违法 犯罪 事实 的 审查 

违法 犯罪 事实 的 审查 应 该 从 线索 涉及 的 网 站 、 参 赌 人 员 网 站 赌博 账号 .资金 账号 等 方面 
分 别 审查 。 

关于 赌博 网 站 的 审查 ,应 该 确认 网 站 是 否 为 赌博 网 站 、 网 站 的 赌博 类 型 .网 站 服务 器 所 
在 地 等 方面 进行 核实 。 一 般 可 以 通过 浏览 网 站 相关 内 容 , 判 断 是 否 为 赌博 网 站 ,大 部 分 赌博 
网 站 会 有 网 站 内 容 的 介绍 页 面 , 参 赌 方式 的 介绍 等 ,可 以 根据 这 些 内 容 初步 判断 是 否 为 赌博 
站 ,部 分 赌博 网 站 会 有 对 外 公开 服务 的 客服 系统 或 者 客服 联系 的 QQ、Skype 等 即时 通讯 
客服 ,通过 与 客服 沟通 ,了 解 赌博 网 站 的 服务 内 容 和 方式 。 对 于 彩票 类 网 站 ,要 注意 区 分 是 
否 为 国内 合法 的 福彩 、 体 彩 网 站 ,可 以 根据 网 站 的 域名 、 国 家 权威 机 构 的 官方 网 站 、 其 他 公 
渠道 发 布 的 信息 作为 判断 依据 。 个 别 网 络 赌博 会 通过 网 络 游戏 ` 网 络 聊 天 室 等 方式 作为 赠 
博 工具 ,不 包含 专用 的 网 络 赌博 下 注 管理 资金 管理 等 功能 ,对 于 此 类 赌博 行为 要 结合 资金 
情况 、 参 财 人 员 赌 博 活 动 的 其 他 线索 进行 综合 分 析 , 查 明 是 否 符 合 网 络 赌博 相关 的 必 有 备 
要 件 。 

对 于 已 抓获 嫌疑 人 的 赌博 网 站 账号 ,要 对 账号 进行 验证 。 一 方面 要 判明 账号 是 否 为 涉 
案 网 站 的 账号 ,账号 与 网 站 一 致 ; 另 一 方面 ,要 判明 账号 是 否 为 嫌疑 人 持 有 ,要 结合 账号 的 
使 用 情况 ,账号 的 来 源 情况 .审查 账号 是 否 为 嫌疑 人 所 使 用 。 另 外 ,赌博 网 站 的 账号 区 分 为 
一 般 参 财 人 员 账 号 和 代理 账号 ,一 般 参 赌 人 员 账 号 要 注意 考察 账号 的 历史 资金 记录 、 下 注 记 
录 、 登 录 记 录 等 ,有 代理 人 员 的 要 注意 代理 的 级 别 以 及 发 展 下 线 会 员 的 数量 等 情节 。 

对 于 网 站 公布 的 资金 账号 和 嫌疑 人 使 用 的 资金 账号 ,应 该 按照 初 查 的 要 求 ,审查 核实 资 
金 实 际 流转 情况 ,将 现实 的 资金 使 用 情况 与 网 络 赌博 的 相关 情况 进行 印证 。 如 果 资 金 账 号 
的 资金 流向 、 数 额 与 网 站 赌资 充值 提成. 返 现 等 情况 吻合 ,可 以 判明 此 资金 账号 为 网 络 赌博 
使 用 ,资金 记录 可 以 作为 涉案 金额 情况 的 证 据 材 料 。 

3. 是 否 追 究 刑 事 责任 的 审查 

网 络 赌博 罪 一 般 表现 为 三 种 行为 方式 : 开设 赌场 聚众 赌博 和 以 赌博 为 业 , 开 设 赌场 是 
常见 的 网 络 犯罪 形式 。2010 年 发 布 的 (最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 关于 办 理 网 
络 赌博 犯罪 案件 适用 法 律 若干 问 题 的 意见 (以 下 简称 (打击 网 络 赌博 犯罪 意见 )) 对 网 上 开 
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设 赌 场 犯 罪 的 定罪 量刑 标准 做 了 规定 ,明确 四 类 行为 属于 开设 赌场 罪 。 关 于 网 上 开设 赌场 
犯罪 的 定罪 量刑 标准 ,其 中 规定 ,利用 互联 网 移动 通 讯 终端 等 传输 赌博 视频 、 数 据 ,组 织 赌 
博 活动 ,具有 下 列 情形 之 一 的 ,属于 (刑法 ) 第 三 百 零 三 条 第 二 款 规 定 的 “开设 赌场 行为: 

(一 ) 建立 赌博 网 站 并 接受 投注 的 ; 

(二 ) 建立 赌博 网 站 并 提供 给 他 人 组 织 赌博 的 ; 

(三 ) 为 赌博 网 站 担任 代理 并 接受 投注 的 ; 

(四 ) 参与 赌博 网 站 利润 分 成 的 。 

经 过 对 案件 受理 材料 的 审查 ,如 果 符合 网 上 “开设 赌场 ”的 行为 ,可 以 认定 嫌疑 人 具有 涉 
嫌 网 络 赌博 犯罪 的 嫌疑 ,从 实际 打击 情况 来 看 ,开设 网 络 赌博 网 站 人 员 、 赌 博 网 站 管理 人 员 、 
赌博 网 站 各 级 代理 人 都 是 按照 开设 网 络 赌场 罪 进行 打击 ,这 些 组 织 开 办 者 属于 网 络 赌博 犯 
罪 的 重点 打击 对 象 ,一 般 参 赌 会 员 不 构成 犯罪 ,按照 一 般 赌博 违法 行为 进行 行政 处 罚 处 理 。 

《打击 网 络 赌博 犯罪 意见 》 中 还 规定 了 情节 严重 的 情形 ,在 案件 审查 阶段 要 注意 抽 头 渔 
利 数 额 . 参 财 人 员 数 量 .赌博 利 润 分 成 数额 等 情况 。 以 下 是 规定 的 情节 严重 情形 。 

实施 前 款 规 定 的 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 三 百 零 三 条 第 二 款 规定 
的 “情节 严重 ”， 

(一 ) 抽 头 渔 利 数额 累计 达到 3 万 元 以 上 的 ; 

(二 ) 赌资 数额 累计 达到 30 万 元 以 上 的 ; 

(三 ) 参 财 人 数 累计 达到 120 人 以 上 的 ; 

(四 ) 建立 赌博 网 站 后 通过 提供 给 他 人 组 织 赌博 ,违法 所 得 数额 在 3 万 元 以 上 的 ; 

(五 ) 参与 赌博 网 站 利润 分 成 ,违法 所 得 数额 在 3 万 元 以 上 的 ; 

(六 ) 为 赌博 网 站 招募 下 级 代理 ,由 下 级 代理 接受 投注 的 ; 

(七 ) 招揽 未 成 年 人 参与 网 络 赌博 的 ; 

( 八 ) 其 他 情节 严重 的 情形 。 

另外 ,在 实际 工作 中 ,还 会 出 现 一 个 账号 多 人 使 用 ,使 用 点 数 代表 金额 ,多 人 交叉 使 用 资 
金 账 户 的 情况 《打击 网 络 赌博 犯罪 意见 》 也 对 此 做 了 具体 的 规定 ， 

赌博 网 站 的 会 员 账 号 数量 可 以 认定 为 参 赌 人 员 数 量 , 如 果 查 实 一 个 账号 多 人 使 用 或 者 
多 个 账号 一 人 使 用 的 ,应 当 按照 实际 使 用 的 人 数 计算 参 赌 人 数 。 

赌资 数额 可 以 按照 在 网 络 上 投注 或 者 赢 取 的 点 数 乘 以 每 一 点 实际 代表 的 金额 认定 。 

对 于 将 资金 直接 或 间接 兑换 为 虚拟 货币 .游戏 道具 等 虚拟 物品 ,并 用 其 作为 筹码 投注 
的 ,赌资 数额 按照 购买 该 虚拟 物品 所 需 资金 数额 或 者 实际 支付 资金 数额 认定 。 

对 于 开设 赌场 犯罪 中 用 于 接收 流转 赌资 的 银行 账户 内 的 资金 ,犯罪 嫌疑 人 、 被 告 人 不 
能 说 明 合法 来 源 的 ,可 以 认定 为 赌资 。 向 该 银行 账户 转 入 、 转 出 资金 的 银行 账户 数量 可 以 认 
定 为 参 赌 人 数 。 如 果 查 实 一 个 账户 多 人 使 用 或 多 个 账户 一 人 使 用 的 ,应 当 按照 实际 使 用 的 
人 数 计 算 参 赌 人 数 。 

关于 网 络 赌博 的 代理 人 员 的 认定 ,打击 网 络 赌博 犯罪 意见 》 规 定 “ 有 证 据 证 明 犯 罪 嫌疑 
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人 在 赌博 网 站 上 的 账号 设置 有 下 级 账号 的 ,应 当 认 定 其 为 赌博 网 站 的 代理 .” 在 实际 工作 中 ， 
不 仅 要 发 现代 理 人 员 账 号 下 开设 有 下 级 账号 ,还 应 该 查 清 下 级 账号 的 使 用 人 情况 ,证 实 网 络 
账号 为 赌博 人 员 实 际 使 用 ,账号 由 上 级 人 员 为 其 开通 。 如 果 存 在 一 个 账号 多 人 使 用 的 情况 ， 
应 该 按照 实际 使 用 人 的 数量 计算 下 级 人 数 。 


15.7.3 侦查 措施 和 流程 


网 络 赌博 案件 的 侦查 应 该 查 明 嫌疑 人 开展 网 络 赌博 活动 的 相关 主要 犯罪 事实 ,还 要 收 
LM 查 清 主要 犯罪 事实 主要 是 应 该 查 明 嫌疑 人 组 
织 网 络 赌博 活动 是 如 何 开展 的 ,涉及 赌博 网 站 建设 维护 ,会 员 发 展 . 网 站 推广 和 会 员 管 理 
资金 流 管理 等 方面 。 网 络 案件 侦查 工作 可 以 围绕 网 上 .网 下 侦查 以 及 信息 流 的 侦查 .资金 

的 侦查 几 个 方面 开展 。 

关于 赌博 网 站 的 侦查 。 网 络 赌 博 活动 主要 依托 赌博 网 站 开展 ,应 该 查 明 赌 博 网 站 的 域 
名 注册 、 网 站 程序 开发 .服务 器 租用 、 网 站 建设 及 维护 相关 的 情况 。 赌 博 网 站 的 侦查 需要 查 
明 赌 博 网 站 服务 器 的 位 置 , 查 清 租用 、 管 理 、. 维 护 人 的 身份 及 线索 ,并 获取 相关 证 据 材 料 。 

1. 通过 域名 侦查 网 站 服务 器 

通过 域名 侦查 可 以 初步 查 清 服务 器 的 所 在 位 置 ,赌博 网 站 的 基本 网 络 拓扑 架构 ,网 站 涉 
及 多 少 个 域名 ,多 少 个 服务 器 ,以 及 Web 服务 器 ,数据 库 服务 器 的 情况 等 。 

服务 器 的 页 面 内 容 等 应 通过 远程 勘 验 方式 及 时 提取 固定 证 据 , 数 据 内 容 需 要 通过 远程 
勘 验 或 者 查 扣 服 务 器 后 进行 现场 勘 验 固定 提取 。 

2. 对 服务 器 维护 人 员 的 侦查 

确定 服务 器 的 位 置 后 ,需要 查 清 嫌 疑 人 管理 维护 赌博 网 站 的 情况 。 可 以 通过 以 下 几 个 

(1) 查询 调 取 域名 注册 资料 、 网 站 托管 .租用 信息 查找 网 站 注册 及 租用 人 线索 。 

(2) 分 析 网 站 登录 日 志 , 获 取 网 站 管理 员 .维护 人 的 登录 维护 记录 。 

(3) 查 清 网 站 技术 维护 人 员 的 其 他 身份 .通讯 联系 等 线索 。 

(4) 通过 侦查 网 站 租用 、 技 术 维护 经 费 等 资金 流 , 查 清 管理 维护 人 员 信 息 。 


15.7.4 排查 和 抓 捕 


经 过 前 期 对 网 站 及 服务 器 的 基本 情况 侦查 后 .赌博 网 站 的 公开 情况 基本 查 清 ,确定 了 赌 
博 网 站 的 性 质 、 规 模 等 外 围 情况 后 ,下 一 阶段 需要 围绕 排查 、 抓 捕 嫌 疑 人 开展 工作 。 排 查 、 抓 
捕 嫌 疑 人 需要 着 重 做 好 以 下 几 方 面 的 工作 。 
1. 侦查 网 络 赌博 团伙 的 外 围 人 员 
从 赌博 网 站 参与 的 会 员 客服 .技术 等 外 围 人 员 作 为 排查 的 起 点 。 赌 博 网 站 会 员 的 侦查 
可 将 本 地 频繁 参 赌 会 员 作为 重点 侦查 对 象 . 首 先是 查 明 参 赌 人 员 的 基本 情况 ,如 年 龄 .性 别 、 
职业 、 住 址 \ 收 入 情况 等 ; 其 次 是 侦查 会 员 在 赌博 网 站 的 注册 及 参 赌 下 注 的 历史 情况 ,根据 
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会 员 参 与 赌博 时 间 推 断 赌博 网 站 的 营业 时 间 , 根 据 历史 下 注 情况 可 以 协助 分 析 网 站 赌博 的 频 
次 ; 再 次 是 涉 赌 资金 的 交易 情况 ,根据 会 员 的 下 注 额度 可 以 分 析 赌 博 网 站 的 投注 额度 ,根据 会 
员 的 赌资 流向 可 以 追查 资金 流向 ; 最 后 是 分 析 会 员 在 赌博 网 站 的 会 员 级 别 , 如 果 是 达到 总 代 
理 或 一 级 代理 级 别 , 则 aot eens irr reer norecior ni 
直接 的 密切 联系 ,如 果 属 于 一 般 参 赌 会 员 , 则 参 赌 人 员 与 赌博 团伙 一 般 无 直接 的 密切 联系 。 

入 te i es tht 

赌博 网 站 在 开展 网 络 赌博 活动 过 程 中 ,需要 与 资金 结算 转移 、 软 件 开 发 .服务 器 托管 租 
赁 ,广告 推广 等 人 员 或 机 构 开 展业 务 合作 ,由 于 活动 的 违法 性 ,往往 与 地 下 产业 链 相 勾结 , 依 
托 专业 的 人 员 和 机 构 ,共同 完成 整个 赌博 活动 各 环节 的 业务 。 如 2008 年 某 省 公安 机 关 侦 办 
的 王 某 某 等 人 开设 网 上 赌场 案 中 ,涉案 的 某 科 技 公 司 为 多 个 赌博 网 站 开发 程序 ,并 提供 网 站 
建设 .管理 维护 等 技术 服务 ,通过 打击 该 科技 公司 查 清 了 多 个 由 该 公司 建设 、 维 护 的 网 络 赌 
博 网 站 。2015 年 黑龙 江 侦办 的 “3。22” 特 大 跨国 网 络 赌博 案 中 ,侦查 发 现 了 “速达 支付 "和 
my18 两 个 支付 平台 为 网 站 提供 资金 支付 结算 服务 ,公安 机 关 通 过 侦查 其 为 哪些 赌博 公司 
提供 过 支付 软件 ,进一步 掌握 了 赌博 公司 的 股东 代理、 流动 资 金 与 会 员 数 量 。 

3. 侦查 网 络 团伙 的 组 织 架 构 

在 排查 嫌疑 人 过 程 中 ,需要 根据 网 络 赌博 的 活动 特点 查 清 赌博 团伙 的 组 织 架 构 。 赌 博 
网 站 正常 运行 需要 开展 网 站 技术 维护 ,资金 结算 .会员 管理 及 活动 组 织 等 工作 ,相应 地 需要 
设立 不 同 的 内 部 部 门 。 以 2015 年 黑龙 江 侦办 的 “3。22” 特 大 跨国 网 络 赌博 案 为 例 , 涉 案 的 
菲律宾 赌博 集团 “大 发 888 "为 幕后 操纵 者 ,该 集团 于 2002 年 在 菲律宾 成 立 , 总 部 设 在 非 律 
宾 *RCBC” 大 厦 ( 菲 律 宾 马尼拉 地 区 ) ,总 部 工作 人 员 300 余人 ,控制 着 30 多 个 分 支 机 构 , 内 
部 分 工 明确 ,下 设 财 务 部 ,技术 部 、 客 服部 ,招商 部 ( 招 分 支 代理 ) 和 “扑克 部 “体育 部 ”等 多 个 
赌博 玩法 部 ,赌博 网 站 财务 总 监 王 某 的 抓获 成 为 该 案 的 重要 突破 口 。 

4. 侦查 网 络 赌博 骨干 人 员 

人 员 排 查 的 重点 是 网 络 赌博 骨干 人 员 的 侦查 ,一般 而 言 , 网 络 赌博 的 组 织 者 `. 业务 负 责 
人 、 技 术 负责 人 、 财 务 负责 人 都 属于 网 络 赌博 的 骨干 人 员 , 在 网 络 赌博 活动 中 发 挥 着 重要 作 
用 ,掌握 网 络 赌博 的 主要 违法 犯罪 事实 和 情节 ,案件 的 主要 证 据 材 料 也 来 自 于 对 骨干 人 员 的 
侦查 。 通 过 网 络 赌博 服务 器 的 侦查 可 以 顺 线 追查 技术 负责 人 ,通过 涉 赌资 金 的 侦查 可 以 追 
查 财务 负责 人 ,通过 赌博 网 站 客服 人 员 的 侦查 可 以 顺 线 追 查 赌博 业务 负责 人 ,综合 技术 负责 
人 、 财 务 负责 人 以 及 业务 负责 人 的 线索 ,可 以 追查 网 络 赌博 活动 的 组 织 者 。 

5. 抓 捕 时 机 的 选择 

在 犯罪 嫌疑 人 的 主要 违法 犯罪 事实 已 经 查 清 , 嫌 疑 人 身份 已 经 确认 ,有 确凿 的 证 据 材 料 
证 明 犯 罪 嫌疑 人 的 违法 犯罪 事实 的 情况 下 ,可 以 根据 情况 选择 合适 时 机 实施 抓 捕 。 抓 捕 时 
机 的 选择 要 考虑 以 下 几 个 方面 的 因素 。 

1) 确定 骨干 人 员 抓 捕 条 件 

网 络 赌博 骨干 人 员 掌 握 着 案件 的 主要 证 据 材 料 .应 该 优先 考虑 骨干 人 员 的 到 案 条 件 , 按 
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照 先 重点 骨干 人 员 后 一 般 人 员 的 顺序 考虑 抓 捕 时 机 。 技 术 负责 人 第 一 时 间 到 案 , 可 以 确保 
网 络 赌博 网 站 的 服务 器 证 据 材 料 不 会 灭失 ,如 果 其 他 人 员 先 到 案 , 技 术 人 员 后 到 案 , 则 有 可 
能 惊动 嫌疑 人 ,导致 服务 器 资料 删除 .灭失 等 后 果 。 财 务 人 员 第 一 时 间 到 案 , 可 以 确保 涉案 
赌资 不 会 被 转移 、 藏 匿 , 所 以 选择 抓 捕 时 机 应 该 考虑 骨干 人 员 优先 抓 捕 , 并 且 骨 干 人 员 同 时 
到 案 为 优先 考虑 。 

2) 选择 骨干 人 员 同 时 抓 捕 的 时 机 
日 于 犯罪 分 子 极为 警觉 ,并 且 相互 之 间 通 讯 勾 连 方便 ,一 旦 有 骨干 人 员 漏 网 可 能 导致 其 
他 涉案 人 员 警 觉 ,采取 隐匿 .毁灭 证 据 ` 潜 逃 等 后 果 。 

3) 摸 清 主 要 人 员 的 活动 规律 

抓 捕 嫌疑 人 之 前 要 摸 清 骨干 人 员 的 网 上 和 网 下 活动 规律 ,要 在 赌博 事实 清楚 、 人 员 架 构 
清楚 的 条 件 下 , 摸 清 网 络 赌博 活动 的 规律 ,比如 赌球 比赛 正在 赛事 进行 期 间 、 赌 博 组 织 人 员 
正在 集中 开展 业务 期 间 、 境 外 人 员 人 境 期 间 等 。 这 些 都 需要 事先 摸 清 主要 人 员 的 活动 规律 ， 
确保 抓 捕 行动 万 无 一 失 。 

6. 抓 捕 行动 的 组 织 实施 

网 络 赌博 活动 的 涉案 人 员 较 多 ,分 布地 域 广 , 抓 捕 行动 应 该 有 组 织 地 开展 。 抓 捕 行 动 开 
始 前 ,应 该 事先 制定 抓 捕 行 动 的 计划 和 方案 ,根据 嫌疑 人 的 数量 预先 准备 足够 的 警力 ,如 果 
骨干 嫌疑 人 人 数 较 多 活动 区 域 不 同 , 在 统一 抓 捕 时 ,应 该 事先 组 织 多 组 抓 捕 行 动 组 分 赴 各 
地 开展 行动 。 

抓 捕 行动 中 ,应 该 为 抓 捕 行 动 组 配备 相关 人 员 和 设备 、 器 材 ,一 般 需 要 有 现场 勘查 人 员 、 
抓 捕 人 员 、 现 场 审查 讯问 人 员 , 针 对 网 络 赌博 案件 涉及 的 电子 数据 取证 ,需要 配备 相应 的 电 
子 数据 现场 勘查 箱 等 专业 器 材 。 

抓 捕 行 动 中 要 注意 做 好 现场 勘查 取证 和 突 审 工作 ,现场 勘查 情况 和 现场 突 审 要 紧密 结 
合 , 确 保 在 抓 捕 现 场 全 面 获取 证 据 , 涉 案 嫌疑 人 可 以 全 面 到 案 。 


15.7.5 讯问 和 询问 


现场 的 讯问 和 询问 对 于 网 络 犯罪 案件 的 侦破 非常 重要 。 讯 问 和 询问 不 是 简单 的 一 问 
一 答 , 如 何 准确 地 让 对 方 描述 案件 过 程 和 结果 ,是 获取 犯罪 线索 和 固定 犯罪 证 据 的 重要 

侦查 讯问 使 用 的 对 象 是 犯罪 嫌疑 人 。 网 络 赌博 的 讯问 主要 关注 点 为 嫌疑 人 的 下 注 、 抽 
水 方式 .资金 来 往 ,账户 密码 等 信息 。 侦 查询 问 使 用 的 对 象 包括 报案 人 、 被 害 人 \` 证 人 、 违 法 
行为 人 等 案件 中 明确 为 刑事 犯罪 嫌疑 人 外 的 案件 关联 入 员 。 网 络 赌博 案件 的 询问 ,应 针对 
网 络 赌博 的 特点 ,例如 赌博 的 结构 、 参 与 机 制 、 下 注 方式 等 。 


15.7.6 现场 勘查 
现场 勘查 一 般 分 为 如 下 几 个 阶段 : 准备 阶段 \ 现 场 侦查 阶段 .电子 数据 现场 勘查 阶段 、 
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报告 阶段 ,针对 网 络 赌博 案件 的 特点 ,在 现场 勘查 工作 中 需要 注意 以 下 几 个 方面 的 内 容 。 

1. 准备 阶段 

人 员 的 准备 方面 ,网 络 赌博 案件 的 现场 勘查 需要 配备 电子 数据 勘查 能 力 的 取证 人 员 , 现 
场 勘查 人 员 应 事先 熟悉 涉案 网 站 的 主要 架构 .管理 维 护 情况 等 案情 。 

设备 的 准备 方面 ,网 络 赌博 案件 的 主要 证 据 材 料 是 电子 数据 ,在 网 络 赌博 案件 中 需要 做 
好 电子 数据 勘查 的 准备 ,一般 需要 携带 电子 数据 现场 勘查 设备 ,包括 现场 拍照 设备 .录像 设 
备 . 电 子 数据 证 据 封 存 工具 、 易 失 证 据 获取 工具 ,硬盘 复 制 设 备 .螺丝 刀 、 防 静电 手套 等 装备 ， 
需要 现场 进行 快速 检验 检查 的 ,还 需要 携带 相关 的 介质 保护 .数据 分 析 工 具 和 软件 。 

勘查 方案 的 准备 。 勘 查 人 员 应 事先 熟悉 网 络 赌博 案件 的 取证 要 点 ,了 解 相 关 案情 , 抓 捕 
对 象 中 是 否 包 含 赌博 网 站 的 技术 人 员 ,技术 人 员 的 技术 水 平 以 及 在 网 络 赌博 团伙 中 的 地 位 
和 作用 。 实 施 现 场 勘查 前 ,应 尽量 了 解 现场 的 物理 环境 和 网 络 环境 ,大 致 判断 现场 可 能 的 服 
务 器 .计算 机 的 数量 ,现场 涉案 人 员 多 涉案 电子 设备 和 介质 多 的 ,有 条 件 的 情况 下 应 指派 多 
名 勘查 取证 技术 人 员 。 在 勘查 方案 中 要 根据 抓 捕 前 掌握 的 证 据 情 况 确定 现场 勘查 需要 获取 
主要 证 据 材 料 ,做 到 现场 勘查 中 既 全 面 又 能 突出 重点 。 考 虑 到 电子 数据 材料 隐蔽 性 和 易 失 
性 ,在 勘查 方案 中 要 安排 好 证 据 材 料 的 保护 工作 ,如 何 开展 现场 保护 ,如 何 防止 重要 证 据 材 
料 灭失 ,都 要 有 事先 计划 和 安排 ,针对 可 能 出 现 的 突 发 情况 还 需要 做 好 处 置 突 发 情况 的 

2. 现场 侦查 阶段 

现场 侦查 阶段 包括 现场 勘查 和 现场 访问 。 在 现场 勘查 阶段 ,在 控制 嫌疑 人 之 后 ,应 该 首 
先 将 嫌疑 人 与 现场 的 计算 机 、 电 子 设备 隔离 ,防止 其 毁灭 和 隐藏 证 据 材 料 。 对 于 现场 的 计算 
机 网 络 ,一 般 情 况 下 可 以 采取 断 网 措施 ,如 果断 网 会 导致 其 他 同伙 警觉 等 情况 的 ,可 以 进行 
现场 保护 , 先 提取 固定 证 据 , 随 后 再 择机 切断 网 络 连接 。 

在 现场 访问 阶段 ,应 该 了 解 现场 的 网 络 接 入 情况 和 网 络 拓扑 结构 ,对 现场 发 现 的 计算 
机 、 存 储 介质 、 电 子 设备 应 该 查 明 使 用 人 和 持 有 人 。 对 于 现场 发 现 的 可 疑 设 备 和 材料 要 全 面 
提取 ,需要 现场 检查 和 分 析 的 要 现场 开展 相应 的 检查 和 分 析 工 作 。 

在 现场 侦查 阶段 应 该 全 面 获 取 与 网 络 赌博 相关 的 各 种 证 据 材 料 。 网 络 赌博 案件 现场 勘 
查 要 注意 获取 与 网 络 赌博 相关 的 电子 数据 证 据 以 及 物证 ,书证 等 在 内 的 证 据 材 料 。 不 同 的 
涉案 人 员 需 要 提取 的 证 据 材 料 侧重 点 不 同 。 

对 于 开发 、 建 设 、 维 护 赌博 网 站 嫌疑 人 使 用 计算 机 ,可 能 留存 有 : 

(1) 管理 维护 赌博 网 站 的 记录 ,访问 网 站 管理 后 人 台 的 记录 。 

(2) 为 管理 维护 网 站 而 留存 的 网 站 程序 .数据库 等 的 备份 。 

(3) 开发 网 站 程序 使 用 的 开发 调试 工具 等 。 

对 于 赌博 业务 管理 人 员 使 用 的 计算 机 ,可 能 留存 的 电子 数据 有 : 

(1) 网 站 股东 ,会 员 管 理 资料 。 

(2) 网 站 会 员 投 注 记 录 和 资金 管理 的 记录 。 
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(3) 赌博 团伙 其 他 业务 记录 等 。 

在 现场 中 要 注意 全 面 发 现 \ 提 取 、 固 定 相关 存储 介质 和 电子 设备 ,以 及 其 他 可 能 保存 与 
网 络 赌博 相关 的 电子 数据 证 据 材 料 的 证 物 ,现场 需要 全 面 提取 相关 设备 和 数据 ,包括 电子 数 
据 存储 介质 、 网 络 设备 .银行 卡 、. 通 讯 工具 等 。 如 果 在 现场 电子 设备 较 多 ,可 以 进行 现场 的 初 
步 检查 ,明显 与 案件 无 关 的 可 以 不 提取 ,如 果 不 能 排除 的 则 要 全 面 提取 。 

在 现场 中 要 注意 全 面 发 现 、 提 取 、 固 定 相 关 物证 材料 ,主要 包括 银行 转账 记录 、 记 账本 、 
房屋 租赁 合同 、 赌 博 网 站 主机 的 托管 合同 .上 网 登记 表 等 。 

3. 分 析 报告 阶段 

现场 勘查 中 需要 立即 开展 电子 数据 检查 分 析 的 ,要 将 相关 检查 分 析 的 关键 过 程 进 行 拍 
照 和 录像 ,检查 分 析 提 取 的 电子 数据 要 进行 固定 和 提取 ,检查 分 析 的 结果 在 勘 验 检查 笔录 中 
进行 记录 。 对 于 耗 时 较 长 的 检查 分 析 工 作 可 以 现场 扣押 提取 后 送 到 检验 鉴定 实验 室 分 析 。 
现场 勘查 的 过 程 和 结果 都 应 该 在 相关 笔录 和 报告 中 予以 体现 。 


15.7.7 侦查 终结 


在 网 络 赌博 案件 侦查 中 ,网 络 赌博 的 主要 犯罪 事实 已 经 查 清 ,掌握 的 证 明 案 件 事实 的 证 
据 确实 、 充 分 ,这 是 侦查 终结 的 必要 条 件 。 

在 网 络 赌博 案件 中 ,需要 围绕 网 络 赌博 活动 的 主要 事实 开展 审查 ,要 对 侦查 过 程 中 获取 
的 线索 和 材料 进行 认真 分 析 和 审核 ,线索 之 间 相互 衔接 ,因果 关系 、 时 间 关 系 、 空 间 关系 清楚 
合理 , 查 明了 网 络 赌博 活动 主要 组 织 者 、 主 要 参与 者 的 真实 身份 和 基本 情况 ,掌握 了 网 络 赌 
博 活动 的 组 织 架构 和 内 部 分 工 ,对 嫌疑 人 开展 网 络 赌博 活动 网 上 活动 和 网 下 活动 情况 基本 
清楚 ,网 络 赌博 资金 流转 渠道 和 涉案 金额 ,资金 流向 等 基本 查 清 , 对 于 资金 流转 情况 ,应 该 党 
握 主 要 的 资金 结算 方式 、 资 金 流转 方式 ,具备 这 些 条 件 之 后 ,可 以 认为 案件 涉及 的 主要 犯罪 
事实 已 经 基本 查 清 。 

在 证 据 材 料 方面 .已 经 取得 的 证 据 材 料 符合 真实 性 ,合法 性 ,关联 性 的 要 求 ,证据 材料 可 
以 证 明 主要 犯罪 事实 ,对 于 个 别 情节 尚未 查 清 ,个 别 证 据 材 料 还 未 获取 的 ,只 要 主要 犯罪 事 
实 有 证 据 证 明 也 可 以 确定 破案 。 在 网 络 赌博 案件 中 ,获取 了 赌博 网 站 开设 、 技 术 维 护 、 赌 博 
会 员 推广 发 展 以 及 涉 赌资 金 方面 的 相应 证 据 材 料 后 ,可 以 认为 主要 的 证 据 材 料 已 经 具备 。 

对 于 犯罪 事实 清楚 ,证 据 确实 、 充 分 ,犯罪 性 质 和 罪名 认定 正确 ,法 律 手续 完备 ,依法 应 
当 追 究 刑事 责任 的 案件 ,应 当 制 作 ( 起 诉 意见 书 ), 经 县 级 以 上 公安 机 关 负 责 人 批准 后 ,连同 
案卷 材料 .证据 ,一 并 移送 同 级 人 民 检 察 院 审 查 决 定 。 


15.8 网 络 赌博 案件 的 证 据 要 点 


网 络 赌博 案件 的 证 据 形式 与 一 般 刑 事 案件 相同 ,证 据 形式 一 般 都 会 涵盖 (刑事 诉讼 法 》 
八 种 形式 ,由 于 网 络 赌博 犯罪 基于 赌博 网 站 开展 业务 ,网 站 日 志 、 后 台 记 录 、 管 理 维护 的 记 
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录 、 客 户 端的 浏览 及 下 注 记录 都 是 电子 数据 证 据 , 电 子 数据 形式 的 证 据 材 料 是 主要 的 证 据 
形式 。 

在 网 络 赌博 案件 报 捕 、 移 交 起 诉 过程 中 ,要 注意 全 面 、 客 观 ` 合 法 提取 全 部 证 据 , 取 证 过 
程 中 需要 注意 相关 取证 主体 、 取 证 程序 的 合法 合 规 性 , 除 证 据 内 容 外 ,电子 数据 勘查 相关 程 
序 文 件 ,电子 数据 鉴定 相关 的 委托 受理 程序 文件 等 也 要 符合 相应 的 规定 。 由 于 电子 数据 属 
于 新 增加 的 证 据 形式 ,基层 检 ,法 部 门 在 电子 数据 的 审查 运用 方面 还 有 个 了 解 熟悉 的 过 程 ， 
在 司法 实践 过 程 中 要 注意 做 好 沟通 和 协调 工作 。 


15.9 网 络 赌博 典型 案例 剖析 


2010 年 以 来 ,广东 省 公安 机 关 发 现 粤 东 地 区 有 一 特大 网 络 赌博 团伙 针对 

国内 高 频 彩 票 时 时 彩 进 行 外 围 赌博 , 参 赌 人 员 众 多 。 该 团伙 开发 团队 技术 成 

熟 , 网 站 架设 在 境外 , 参 赌 人 员 被 抓获 后 ,赌博 网 站 立即 改头换面 ,继续 招揽 
号 ) 新 的 赌 民 参 赌 。 团 伙 从 传统 的 “足彩 ”六合 彩 " 等 外 围 彩 赌博 转变 为 “重庆 时 


时 彩扩 广东 快乐 十 分 ?等 高 频 彩 票 外 围 彩 赌博 。 由 于 高 频 彩票 每 天 开奖 84 
期 ,周期 短期 数 多 ,能 短 时 间 集 聚 大 量 参 赌资 金 。 


案例 


公安 机 关 最 终 查实 ,该 网 络 赌博 团伙 开设 赌博 平台 共 199 个 (其 中 "时 时 彩 ”125 个 “六 
合 彩 ”74 个 ) ,每 月 以 每 个 网 站 7 万 一 10 万 人 民 币 的 价格 出 租 给 下 层 公 司 , 每 月 收取 租金 约 
1800 万 人 民 币 。 下 层 * 时 时 彩 ” 赌 博 公司 125 个 ,会 员 40 万 月 平均 投注 笔 数 约 为 10 亿 笔 、 
月 总 投注 额 超 4000 亿 人 民 币 , 仅 2014 年 12 月 参 赌 会 员 输 掉 90 亿 元 人 民 币 ; 下 层 “ 六 合 
彩 ” 赌 博 公司 74 个 ,会 员 15 万 ,月 平均 投注 笔 数 5 千 万 笔 .月 总 投注 额 超 90 亿 元 ,2014 年 
12 月 参 赌 会 员 输 掉 60 亿 元 。 

2014 年 2 月 21 日 ,广东 省 公安 厅 在 全 省 范围 内 开展 打击 部 督 *221” 特 大 网 络 赌博 案 的 
专项 行动 ,同年 12 月 21 日 省 厅 专 案 组 联合 潮州 市 局 对 该 案件 的 顶层 运营 团队 开展 统一 收 
网 。 该 案件 共 抓 获 犯罪 嫌疑 人 1071 名 ,冻结 赌资 人 民 币 3. 3 亿 元 人 民 币 ,扣押 网 站 服务 器 
等 作案 工具 若干 。 根 据 公安 部 通报 ,该 案 是 国内 已 侦破 的 最 大 网 络 彩 票 赌博 案件 ,参与 人 
数 、 参 赌资 金 均 为 全 国之 最 。 该 案 捣毁 了 从 赌博 平台 租用 商 、 建 站 人 员 、 庄 家 到 赌 徒 ; 从 系 
统 开发 .组织 实施 到 提供 网 络 服务 帮助 的 全 部 链条 。 

该 案 具有 一 定 的 代表 性 ,特点 分 析 如 下 。 

特点 一 : 涉案 人 员 众多 涉案 金额 巨大 。 

该 案 嫌疑 人 通过 下 级 公司 和 代理 方式 层 层 发 展会 员 ,网 站 会 员 规 模 庞 大 , 仅 “ 时 时 彩 ” 赌 
博 , 通 过 125 个 下 级 公司 发 展 了 40 万 会 员 ,采取 高 频 开 奖 的 时 时 彩 方式 组 织 赌博 ,由 于 下 注 
周期 短 ,一 天 内 可 以 多 达 84 次 下 注 , 相 应 吸取 的 赌资 数额 也 巨大 。 另 外 ,赌博 网 站 采取 更 换 
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页 面 等 方式 逃避 打击 ,持续 发 展 ,非法 活动 持续 时 间 长 .形成 了 涉案 人 员 众 多 涉案 金额 巨大 
的 网 络 赌博 团伙 。 

特点 二 : 境内 操纵 、 境 外 运 维 。 

该 案 中 ,幕后 老板 在 境内 操纵 ,把 技术 团队 放 在 泰国 运营 维护 网 络 赌博 平台 。 该 网 络 赌 
博 团伙 有 9 成 都 把 服务 器 架设 在 境外 ,幕后 老板 在 境内 ,租用 境外 服务 器 ,在 泰国 设立 赌博 
平台 维护 点 ,组 织 员工 在 泰国 进行 赌博 平台 维护 。 在 网 络 赌博 平台 开发 方面 ,以 汕头 人 张 某 
某 、 陈 某 某 等 人 为 首 .将 国家 福利 彩票 “广东 快乐 十 分 “重庆 时 时 彩 ”“ 北 京 快 车 "(以 上 统称 
“时 时 彩 ”) 及 香港 “六 合 彩 ”开奖 结果 作为 赌博 开奖 依据 ,地 下 开发 、 运 维 网 络 赌博 平台 ,作为 
投注 工具 和 赌资 的 结算 依据 ,并 最 终 通过 平台 出 租 , 赌 博 抽 水 (回扣 、 提 成 ) 等 方式 牟利 。 

特点 三 : 组 织 严密 、 活 动 隐蔽 。 

在 组 织 上 ,该 团伙 也 明晰 地 把 “开发 团队 ”和 “营销 团队 ”分 离开 来 。 租 用 赌博 平台 组 织 
参 赌 方面 ,下 游 庄家 租用 赌博 平台 成 为 “赌博 公司 ”。 公 司 采取 “总 公司 -分 公司 -股东 -总 代 
理 -代理 -会 员 ”6 个 级 别 的 金字 塔 结构 ,依托 熟人 关系 层 层 发 展 下 线 , 层 层 抽 水 营利 。 各 账户 
根据 经 济 实力 设置 相应 的 信用 额度 ,以 赌博 网 站 报表 为 依据 ,在 现实 中 以 现金 进行 赌资 结 
算 。 该 团伙 反 侦 察 意识 非常 强 ,为 逃避 打击 ,该 案 的 参 财 人 员 也 不 再 用 电话 联系 ,而 用 网 络 
单线 联系 ; 资金 结算 方面 ,他 们 也 从 原来 的 银行 汇款 改 为 现金 交易 ,大 笔 资 金 通过 地 下 钱庄 
流转 的 方式 进行 交付 。 

特点 四 : 统一 组 织 、 集 中 行动 。 

由 于 此 案 涉 案 人 员 众 多 ,2014 年 6 月 ,专案 组 召集 全 省 21 个 地 市 公安 局 部 署 针 对 下 层 
赌博 公司 的 统一 收 网 工作 , 共 出 动 警力 6000 人 次 ,抓获 犯罪 嫌疑 人 1056 名 ,刑拘 570 人 , 冻 
结 赌资 3. 1 亿 元 人 民 币 , 查 扣 车 辆 及 各 类 设备 一 大 批 。12 月 16 日 ,在 泰国 方面 的 协助 下 ， 
广东 省 公安 厅 、 潮 州 市 公安 局 赴 泰 国 工作 组 准备 收 网 。12 月 21 日 ,专案 组 在 泰国 .台湾 方 
面 的 配合 下 ,分 别针 对 汕头 、 泰 国 工作 点 ,台湾 服务 器 所 在 地 等 重要 部 位 开展 统一 收 网 ,成 功 
抓获 网 站 运营 团队 犯罪 嫌疑 人 15 人。 其 中 ,在 汕头 抓获 张 某 某 、 陈 某 某 等 核心 人 员 6 名 ,在 
广州 ,泰国 分 别 抓获 技术 人 员 2 名 和 7 名 ,缴获 服务 器 及 电脑 40 余 台 ,银行 卡 55 张 ,存折 28 
本 ,冻结 银行 资金 2000 多 万 元 。 


15.10 本 章 小 结 


章 主 要 内 容 是 网 络 赌博 犯罪 的 整体 情况 概述 、 侦 查 网 络 赌博 案件 的 工作 要 点 和 上 典型 
案例 分 析 , 其 中 概述 部 分 对 网 络 赌 博 的 概念 .形式 、 类 型 、 特 点 ,组织 架 构 等 进行 了 全 面 的 介 
绍 ,侦查 要 点 部 分 主要 介绍 了 网 络 案件 管辖 ,立案 审查 、 侦 查 排查 抓 捕 嫌 疑 人 、 现 场 勘查 和 证 
据 要 点 及 诉讼 要 点 ,案例 部 分 介绍 了 近年 来 打击 的 特大 网 络 赌博 案例 ,并 对 网 络 赌博 案件 的 
发 展 趋势 进行 了 简要 总 结 。 通 过 本 章 的 学 习 , 需 要 掌握 网 络 赌博 的 整体 形势 ,熟悉 网 络 赌博 
案件 的 特点 和 组 织 架 构 , 对 于 打击 网 络 犯罪 的 法 律 法 规 应 该 着 重 掌握 打 击 网 络 犯罪 中 罪 与 
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非 罪 的 界限 和 定罪 量刑 标准 。 在 网 络 侦查 要 点 部 分 ,应 该 重点 掌握 排查 和 抓 捕 嫌 疑 人 需要 
注意 的 重点 事项 ,在 收集 证 据 方面 要 根据 网 络 赌博 的 构成 要 件 全 面 收 集 相关 证 据 , 对 于 电子 
数据 证 据 材 料 要 熟悉 网 络 赌博 案件 的 主要 证 据 形 式 、. 证 据 来 源 和 主要 提取 固定 方式 。 


简 述 网 络 赌博 的 概念 。 

网 络 赌博 的 主要 赌博 类 型 有 哪些 ? 

概述 网 络 赌博 的 运营 方式 。 

涉及 网 络 赌博 犯罪 的 法 律 法 规 主要 有 哪些 ? 常见 的 网 络 赌博 犯罪 罪名 有 哪些 ? 
络 赌博 案件 的 管辖 有 哪些 类 型 ? 

络 赌博 案件 在 立案 审查 过 程 中 需要 注意 的 问题 是 什么 ? 

络 赌博 案件 在 排查 嫌疑 人 过 程 中 常用 的 策略 和 方法 是 什么 ? 

络 赌博 案件 的 主要 证 据 类 型 有 哪些 ”可 能 涉及 哪些 方面 的 电子 数据 证 据 ? 
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网 络 淫秽 色情 案件 侦查 


本 章 学 习 目 标 

。 网 络 淫秽 色情 的 概念 

。 网 络 淫秽 色情 的 犯罪 构成 

。 网 络 淫秽 色情 的 类 型 特点 和 运营 方式 
。 网 络 淫秽 色情 案件 的 法 律 约束 

。 网 络 淫秽 色情 案件 的 侦查 要 点 

。 网 络 淫秽 色情 案件 的 证 据 要 点 

。 网 络 淫秽 色情 案件 剖析 


16.1 网 络 淫秽 色情 的 概念 


各 国家 地 区 的 历史 文化 背景 不 同 , 对 淫秽 色情 的 定义 也 因 国家 和 地 区 的 不 同 而 不 同 , 人 
类 历史 上 对 淫秽 色情 的 认识 也 是 不 断 变化 的 。 从 侦查 犯罪 的 角度 看 ,除了 考虑 不 同 的 历史 
文化 背景 外 ,应 严格 按照 法 律 法规 来 界定 和 认定 。 

我 国 关 于 淫秽 物品 的 法 律 界定 有 其 发 展 沿革 ,最 早出 现 于 1985 年 (国务 院 关 于 严禁 
淫秽 物品 的 规定 》, 该 规定 的 第 二 条 使 用 了 “具体 描写 性 行为 或 露骨 宣扬 色情 淫荡 形象 ” 
这 一 术语 ,并 用 这 一 术语 限定 了 后 面 一 系列 要 查禁 的 淫秽 色情 物品 。 此 外 ,该 规定 还 在 第 
三 条 排除 了 “夹杂 淫秽 内 容 的 有 艺术 价值 的 文艺 作品 、 表 现 人 体 美的 美术 作品 有 关 人 体 的 
生理 、 医 学 知识 和 其 他 自然 科学 作品 ”, 后 续 有 关 部 门 在 立法 及 司法 实践 中 基本 都 沿用 了 这 
一 惩 六 

在 上 述 定义 的 基础 上 ,进一步 明确 的 规定 是 1988 年 12 月 新 闻 出 版 署 发 布 的 (关于 认定 
淫秽 及 色情 出 版 物 的 暂行 规定 》, 该 规定 是 新 闻 出 版 领域 认定 淫秽 色情 出 版 物 的 行政 法 规 。 
比较 全 面 ` 具 体 地 定义 了 淫秽 和 色情 出 版 物 。 该 规定 中 具体 区 分 了 七 种 淫秽 色情 出 版 物 : 
淫 启 性 地 具体 描写 性 行为 ,性 交 及 其 心理 感受 ; 公然 宣扬 色情 淫荡 形象 ; 淫 变 性 地 描述 或 
者 传授 性 技巧 ; 具体 描写 乱伦 .强奸 或 者 其 他 性 犯罪 的 手段 .过 程 或 者 细节 ,足以 诱发 犯罪 
的 ; 具体 描写 少年 儿童 的 性 行为 ; 淫 变 性 地 具体 描写 同性 恋 的 性 行为 或 者 其 他 性 变态 行 
为 ,或 者 具体 描写 与 性 变态 有 关 的 暴力 \ 虐 待 ,侮辱 行为 ; 其 他 令 普 通 人 不 能 容忍 的 对 性 行 


490 网 络 犯罪 侦查 


为 的 淫 变 性 描写 。 网 络 淫秽 色情 犯罪 中 淫秽 色情 物品 的 认定 也 可 以 参考 该 规定 ,另外 网 络 
淫秽 色情 犯罪 涉及 电子 出 版 物 的 同样 也 应 适用 该 规定 。 

《刑法 第 三 百 六 十 七 条 对 淫秽 物品 的 犯罪 做 了 限定 ,本 法 所 称 淫秽 物品 ,是 指 具体 描绘 
性 行为 或 者 露骨 宣扬 色情 的 诲 淫 性 的 书刊 .影片 录像带、 录音 带 、 图 片 及 其 他 淫秽 物品 。 两 
个 排除 性 条 款 是 : 有 关 人 体 生理 、 医 学 知识 的 科学 著作 不 是 淫秽 物品 ; 包含 有 色情 内 容 的 
有 艺术 价值 的 文学 .艺术 作品 不 视 为 淫秽 物品 。 

网 络 淫秽 色情 案件 主要 是 指 通过 互联 网 制作 、 复 制 ,传播 淫秽 色情 音 视 频 文 件 , 文 档 等 
电子 文件 ,或 者 借助 互联 网 组 织 淫秽 表演 等 犯罪 。 


16.2 网 络 淫秽 色情 的 犯罪 构成 


16.2.1 犯罪 主体 


网 络 淫秽 色情 犯罪 都 是 由 特定 的 人 员 实 施 的 ,在 其 犯罪 主体 方面 是 指 实施 网 络 色情 犯 
罪 活动 的 人 员 方 面 的 情况 ,作为 自然 人 犯罪 的 共同 之 处 都 必须 是 达到 刑事 责任 年 龄 具有 刑 
事 责任 能 力 的 人 ,单位 犯罪 也 应 具备 一 定 的 主体 资格 。 我 国 对 网 络 淫秽 色情 犯罪 的 主体 规 
定 为 一 般 主体 , 凡 达 到 法 定 刑事 责任 年 龄 且 具 备 刑事 责任 能 力 的 自然 人 均 能 构成 本 罪 。 另 
外 ,单位 也 可 构成 网 络 淫秽 色情 犯罪 主体 。 


16.2.2 犯罪 客体 


网 络 淫秽 色情 犯罪 主体 实施 犯罪 行为 会 侵害 一 定 的 对 象 , 网 络 色 情 犯 罪 客 体 是 指 说 明 
网 络 色情 犯罪 侵害 了 什么 样 利益 方面 的 要 件 。 网 络 制作 传播 淫秽 色情 物品 犯罪 侵犯 的 客体 
是 国家 对 淫秽 物品 的 管理 秩序 。 传 播 淫秽 色情 罪 涉案 的 对 象 包 括 各 种 淫秽 物品 ,如 各 种 淫 
秽 的 书刊 .报纸 ` 画 片 .影片 .录像 带 . 录 音 带 、 淫 秽 玩 具 、 娱 乐 用 品 以 及 印刷 .雕刻 有 淫秽 文字 
和 图 案 的 生活 用 品 等 等 。 传 播 方式 既 可 以 是 直接 传播 赤裸 裸 的 淫秽 物品 ,也 可 以 改头换面 ， 
在 艺术 品 中 故意 加 入 淫秽 情节 ,或 者 在 小 说 中 故意 加 入 淫秽 描写 等 。 网 络 传播 淫秽 色情 物 
品 罪 以 电子 化 的 音频 ,视频 、 文 本 为 主 。 组 织 网 络 淫秽 表演 犯罪 侵犯 的 客体 是 社会 道德 风尚 
和 社会 治安 秩序 ,在 社会 上 组 织 淫秽 表演 对 于 人 民 的 身心 健康 会 造成 危害 ,也 极 易 诱发 违法 
犯罪 活动 ,依法 打击 组 织 淫秽 表演 的 犯罪 行为 ,对 于 维护 社会 治安 ,净化 社会 环境 ,保护 人 民 
的 身心 健康 ,促进 精神 文明 ,具有 重要 意义 。 


16.2.3 犯罪 的 主观 要 件 


网 络 淫秽 色情 犯罪 在 主观 方面 都 是 故意 。 网 络 传播 淫秽 色情 犯罪 在 主观 方面 表现 为 故 
意 , 但 行为 人 不 必 出 于 件 利 目的 。 一 定 情况 下 ,间接 故意 也 可 以 构成 ,比如 行为 人 自己 通过 
网 络 观看 淫秽 物品 ,对 于 他 人 围观 不 闻 不 问 , 因 而 造成 恶劣 影响 的 ,也 可 按 本 罪 论处 。 行 为 
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人 的 动机 可 能 是 多 种 多 样 的 ,如 为 了 使 他 人 分 享 刺激 ,或 者 以 此 讨好 他 人 或 引诱 他 人 堕落 
等 。 根 据 我 国 (刑法 ) 第 三 百 六 十 三 条 和 三 百 六 十 四 条 的 规定 ,传播 淫秽 物品 达到 法 定 情节 
的 即 构成 传播 淫秽 物品 罪 ; 以 营利 为 目的 即 构成 传播 淫秽 物品 牟利 罪 。 组 织 网 络 淫秽 表演 
罪 在 主观 方面 表现 为 故意 ,但 行为 人 不 必 出 于 牟利 目的 。 所 谓 故 意 , 即 明 知 淫秽 表演 是 国家 
法 律 明 令 禁 止 的 ,仍然 在 社会 上 传播 。 实 践 中 多 为 招揽 顾客 ,进行 营利 活动 。 不 论 是 否 以 营 
利 为 目的 ,只 要 实施 了 组 织 淫秽 表演 的 行为 , 即 构成 本 罪 。 


16.2.4 犯罪 的 客观 要 件 


网 络 淫秽 色情 犯罪 的 客观 要 件 说 明 网 络 淫秽 色情 犯罪 是 在 什么 样 的 客观 条 件 下 ,用 什么 样 
的 行为 ,使 客体 受到 什么 样 危 害 的 要 件 。 网 络 淫秽 色情 犯罪 在 客观 方面 首先 是 指 行为 人 实施 了 
危害 淫秽 物品 管理 秩序 的 行为 ,其 次 是 指 网 络 淫秽 色情 危害 行为 造成 或 可 能 造成 的 危害 结果 。 

传播 淫秽 物品 罪 在 客观 方面 表现 为 : 传播 淫秽 的 电影 、 视 频 、 动 画 、. 音 频 . 电 子 图 书 、 图 
片 等 淫秽 物品 ,情节 严重 的 行为 。 传 播 , 即 广泛 散布 。 应 该 注意 本 罪 的 传播 "与 传播 淫秽 物 
品 件 利 罪 的 "传播 在 具体 方式 上 有 所 不 同 。 如 出 租 , 有 偿 放 映 等 以 换取 一 定 对 价 为 目的 的 
使 用 行为 不 是 本 罪 的 “传播 "。 本 罪 的 传播 方式 包括 播放 、 出 借 、 运 输 、 携 带 、 展 览 、 发 表 等 。 

播放 行为 ,一 般 是 指 对 音像 型 淫秽 物品 的 传播 。 由 于 刑法 第 三 百 六 十 三 条 第 二 款 将 组 
织 播放 淫秽 音像 制品 的 行为 独立 成 罪 ,因而 这 里 所 指 的 “播放 ”限于 非 组 织 性 的 播放 行为 。 
利用 计算 机 网 络 技术 的 传播 行为 《计算 机 信息 网 络 国际 联网 安全 保护 管理 方法 》 规 定 : 任 
何 单位 和 个 人 不 得 利用 国际 互联 网 制作 、 复 制 .查阅 和 传播 淫秽 的 信息 。 如 果 行 为 人 有 这 种 
行为 ,情节 较 轻 的 给 予 行政 处 罚 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 利 用 计算 机 技术 传播 淫 
秽 色 情 有 其 特殊 性 ,计算 机 网 络 具 有 传送 ,存储 淫秽 色情 信息 的 能 力 , 多 媒体 制作 、 编 辑 、 播 
放 工 具 也 具有 播放 淫秽 色情 信息 功能 。 

传播 淫秽 物品 罪 ,都 必须 是 不 以 件 利 为 目的 ,如 果 以 件 利 为 目的 , 则 构成 传播 淫秽 物品 
牟利 罪 。 此 外 ,必须 是 “情节 严重 ? 才 构 成 此 罪 。 主 要 是 指 多 次 地 、 经 常 地 传播 淫秽 物品 ; 所 
传播 的 淫秽 物品 数量 较 大 ; 虽然 传播 淫秽 物品 数量 不 大 、 次 数 不 多 ,但 被 传播 的 对 象 人 数 众 
多 ,造成 的 后 果 严 重 ; 在 未 成 年 人 中 传播 ,造成 严重 后 果 的 等 等 。 

组 织 网 络 淫秽 表演 罪 在 客观 方面 表现 为 组 织 他 人 当众 进行 色情 淫荡 .挑动 人 们 性 欲 的 
形体 或 动作 表演 。 组 织 他 人 ,表现 为 招揽 安排 表演 人 员 、 时 间 、 场 次 地点、 编排 动作 节目 等 。 
当众 进行 ,一 般 是 指 三 人 以 上 。 淫 秽 表 演 , 是 指 进行 色情 淫荡 、 挑 动人 们 性 欲 的 形体 、 动 作 表 
演 , 如 裸体 展露 .裸体 表现 性 情欲 ,性 欲 的 各 种 形态 .动作 、 模 拟 性 动作 等 。 


16.3 网 络 淫秽 色情 的 类 型 


网 络 淫秽 色情 犯罪 涉及 的 主要 是 淫秽 色情 形式 的 视频 .音频 和 文本 等 ,可 以 通过 互联 网 
快速 而 广泛 地 发 布 、 传 播 。 涉 及 网 络 淫秽 色情 的 犯罪 按照 罪名 主要 有 五 类 : 制作 、 复 制 、 出 
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版 .贩卖 ,传播 淫秽 物品 牟利 罪 , 为 他 人 提供 书号 出 版 淫秽 书刊 罪 ,传播 淫秽 物品 罪 , 组 织 播 
放 淫 秽 音 像 制品 罪 , 组 织 淫秽 表演 罪 。 

制作 传播 淫秽 色情 物品 罪 按照 是 否 以 件 利 为 目的 来 分 类 ,具体 可 以 区 分 为 传播 淫秽 物 
品 罪 和 传播 淫秽 物品 牟利 罪 两 大 类 。 

网 络 淫秽 色情 犯罪 根据 作案 手法 区 分 可 以 分 为 开办 网 站 、 利 用 通讯 群 组 .通过 网 络 售卖 
淫秽 物品 等 几 种 形式 。 
16.3.1 开办 淫 移 色情 网 站 传播 色情 信息 

此 类 案件 嫌疑 人 自己 租用 网 络 服务 器 ,申请 域名 ,搭建 淫秽 色情 网 站 传播 色情 信息 。 小 
型 网 站 的 嫌疑 人 自己 可 以 维护 ,大 型 网 站 需要 由 一 个 管理 维护 团队 来 运行 维护 。 开 办 淫秽 


色情 网 站 者 多 以 件 利 为 目的 ,由 于 建设 网 站 具有 成 本 低 、 非 法 获 利 快 的 特点 ,造成 大 量 个 人 
建设 的 淫秽 色情 网 站 频繁 出 现 。 


2012 年 7 月 , 孙 某 以 营利 为 目的 ,先后 租用 境外 服务 器 创建 了 “五 月 天 ” 
等 8 个 色情 综合 网 站 ,复制 传播 淫秽 色情 视频 403 部 ,获取 违法 所 得 3 万 余 
元 ,2013 年 6 月 28 日 , 孙 菜 被 以 犯 传播 淫秽 物品 车 利 罪 ,判处 有 期 徒刑 三 年 、 
案例 缓刑 三 年 ,并 处 罚金 人 民 币 一 万 元 。 


16.3.2 利用 通讯 群 组 传播 色情 信息 


随 着 QQ 群 , 微 信和 群 等 的 发 展 普及 ,用 户 群 体 逐 渐 增 大 ,个 别 不 法 分 子 借助 网 络 通 讯 群 
组 的 隐蔽 性 和 半 开 放 性 的 特点 ,利用 通讯 群 组 传播 淫秽 色情 信息 的 案件 也 不 断 出 现 , 此 类 案 
件 的 技术 门槛 低 ,只 需要 会 使 用 群 组 即 可 组 织 实 施 ,嫌疑 人 往往 是 出 于 个 人 兴趣 ,而 不 一 定 
是 以 件 利 为 目的 。 


2012 年 底 , 代 某 某 利用 互联 网 以 “陌生 人 ”网 名 建立 “夫妻 交流 群 *, 供 群 
成 员 聊 天 交流 换妻 、 婚 外 一 夜 情 、 多 人 淫乱 等 淫秽 色情 信息 。 群 成 员 通 过 该 
群 上 传 发 布 大 量 淫秽 色情 图 片 .7 段 淫秽 色情 视频 ,同时 利用 群 视 频 秀 工具 播 
放 淫 秽 色 情 视频 。 该 群 成 员 数 量 保持 在 160 人 左右 。 其 中 , 代 某 某 上 传 淫秽 
色情 图 片 15 张 。2013 年 代 某 菜 被 以 犯 传播 淫秽 物品 罪 判 处 有 期 徒刑 六 个 
月 、 缓 刑 一 年 。 
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16.3.3 利用 网 络 售 卖淫 秽 色情 物品 


网 络 通讯 群 组 、 网 络 支付 等 电子 商务 平台 越 来 越 便利 ,传统 线 下 售卖 淫秽 物品 犯罪 也 转 
移 到 了 网 上 ,由 于 网 络 覆 盖 面 广 ,此 类 案件 的 涉案 淫秽 物品 数量 和 金额 也 远 超 传统 的 线 下 售 
买 淫秽 物品 案 。 嫌 疑 人 借助 网 络 平台 联络 ,通过 网 络 支付 交易 ,利用 物流 发 货 ,过程 隐藏 , 监 
管 困难 ,近年 来 此 类 案例 也 频 有 发 生 。 


2014 年 底 ,警方 侦办 一 起 特大 网 络 售卖 淫秽 光盘 案 , 该 犯罪 团伙 建立 了 
淫秽 影碟 生产 窝点 ,团伙 成 员 在 网 上 发 布 销售 广告 ,并 根据 固有 的 音像 制品 
销售 网 络 与 各 地 联系 订单 ,通过 物流 将 淫秽 色情 光盘 发 往 全 国 各 地 。 此 案 共 
”抓获 犯罪 娘 疑 人 22 人 ， 查 明 该 团伙 向 全 国 二 十 多 个 省 市 区 销售 淫秽 影碟 100 
案例 。 作 万 张 ,涉案 金额 达到 600 余万元 。 


16.3.4 利用 网 络 组 织 淫秽 色情 表演 


网 络 视频 交友 和 网 络 视频 聊天 室 为 不 法 分 子 利 用 网 络 组 织 淫秽 色情 表演 提供 了 便利 条 
件 , 部 分 嫌疑 人 利用 现 有 的 视频 网 络 应 用 或 者 自行 搭建 网 络 表演 平台 ,组 织 实施 网 络 淫秽 色 
情 表演 ,由 于 不 受 地 理 空间 的 限制 ,网 络 受众 多 ,此 类 案件 也 呈现 出 高 发 态势 。 


2015 年 3 月 , 某 地 公安 机 关 接 到 群众 举报 ,有 人 利用 QQ 群 向 群 友 收 取 
200 元 至 1000 元 不 等 费用 ,在 线 销 售 “ 云 娱乐 "平台 账号 及 网 上 虚拟 产品 , 购 
买 产品 的 网 民 可 进入 其 代理 的 聊天 室 观 看 淫秽 色情 表演 。 经 过 警方 细致 侦 
查分 析 和 现场 实地 摸排 ,确定 了 涉嫌 组 织 淫秽 表演 的 犯罪 事实 嫌疑 人 身份 
和 位 置 , 并 将 其 抓获 归案 。 


16.4 网 络 淫秽 色情 的 特点 


16.4.1 趋 利 性 明显 


网 络 淫秽 色情 泛滥 与 其 背后 的 不 法 利益 密切 相关 ,网 络 群 体 参 差 不 齐 ,低俗 色情 内 容 有 着 
广阔 的 受众 群体 ,网 络 淫秽 色情 信息 往往 能 吸引 大 量 的 网 络 访问 流量 ,伴随 网 络 流量 带 来 的 广 
告 收入 \ 木 马 黑色 产业 链 收入 .赌博 推广 .成 人 用 品 推广 等 收入 可 以 带 来 大 量 非法 利益 ,在 利益 
驱动 下 致使 不 少 人 逛 而 走 险 , 利 用 传播 淫秽 色情 信息 牟利 ,非法 利益 又 给 淫秽 色情 信息 从 业 
者 提供 了 大 量 的 资金 支持 ,这 就 导致 了 网 络 淫秽 色情 犯罪 屡禁不止 、 屡 打 不 绝 。 
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16.4.2 跨国 跨 境 为 主 


由 于 互联 网 的 开放 性 和 不 同 国家 对 色情 管制 的 界限 不 同 ,互联 网 跨国 跨 境 传播 淫秽 色 
情 成 为 网 络 淫秽 色情 犯罪 的 主流 。 成 人 色情 在 美国 等 西方 国家 属于 合法 范畴 ,因此 大 量 境 
内 不 法 分 子 采取 境外 建设 网 站 ,境内 推广 业务 的 方式 大 肆 从 事 网 络 淫秽 色情 传播 活动 。 部 
分 嫌疑 人 甚至 移民 到 国外 从 事 淫秽 色情 网 站 业务 ,这 给 打击 处 理 此 类 人 员 带 来 更 大 的 难度 ， 
需要 通过 国际 合作 的 方式 开展 工作 。 


16.4.3 传播 手段 多 样 化 


网 络 技术 和 网 络 应 用 的 发 展 为 网 络 淫秽 色情 的 传播 提供 了 多 种 便利 ,如 利用 视频 聊天 
室 技 术 开展 网 络 淫秽 色情 视频 表演 ,利用 手机 增值 服务 传播 淫秽 色情 信息 、 利 用 点 对 点 网 
络 . 即 时 通讯 服务 和 博客 等 互联 网 新 技术 传播 淫秽 色情 信息 、 利 用 P2P 技术 传播 淫秽 色情 
电影 \ 利 用 网 盘 技 术 上 传 . 存 储 、 传 播 淫秽 色情 视频 等 等 。 另 外 ,由 于 音 视频 等 电子 信息 的 数 
字 化 ,有 助 于 色情 信息 的 无 损 化 便利 传播 ,相对 于 传统 的 录像 带 等 模拟 信号 处 理 的 信息 , 信 
息 复制 不 会 导致 信息 丢失 ,原件 和 复制 件 并 无 实质 差别 ,这 也 是 淫秽 色情 信息 借助 网 络 广泛 
传播 的 一 个 因素 。 


16.4.4 “擦边球 ”现象 突出 


不 法 分 子 利 用 法 律 监管 的 缝隙 钻 空子 的 特点 突出 。 第 一 种 表现 是 打 着 艺术 、 医 疗 的 幅 
子 传播 人 体 图 片 等 ,此 类 信息 难以 定性 和 监管 。 第 二 种 表现 是 以 提供 技术 不 提供 内 容 为 庶 

掩盖 传播 淫秽 色情 信息 的 事实 ,一 旦 被 调查 就 以 不 知情 为 借口 ,公安 机 关 在 查证 是 否 明 
知 方面 存在 一 定 的 难度 ,导致 此 类 犯罪 难以 打击 。 


16.4.5 与 黑色 产业 链 紧 密 融 合 


于 淫秽 色情 网 站 的 隐蔽 性 和 受众 的 广泛 性 ,大 量 淫秽 色情 网 站 在 境内 外 普遍 存在 并 
且 有 国内 外 的 大 批 访问 流量 ,其 本 身 属于 违法 网 站 ,自然 在 网 络 监 管 的 范围 外 存在 运行 , 导 
致 网 络 黑客 、 网 络 赌博 、 网 络 传销 、 网 络 发 布 招 嫖 信息 .不 法 成 人 用 品 药品 等 地 下 产业 与 其 密 
切 勾 结 , 利 用 其 网 络 流量 推广 业务 、 挂 载 木马 病毒 .盗窃 网 络 流量 等 ,淫秽 色情 网 站 成 为 黑色 
产业 链 的 推广 渠道 ,黑色 产业 链 成 为 淫秽 色情 网 站 的 资金 来 源 , 因 此 淫秽 色情 网 站 与 褐色 产 
业 链 的 融合 是 网 络 淫秽 色情 犯罪 的 一 个 典型 特点 。 


16.5 网 络 淫秽 色情 犯罪 的 运营 方式 


16.5.1 泾 秽 色 情 网 站 建设 模式 
淫秽 色情 网 站 建设 的 入 门 门槛 低 。 网 络 淫秽 色情 基于 现 有 的 网 络 即 时 通讯 群 组 、 博 客 
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空间 传播 ,或 者 通过 个 人 建站 的 模式 扩散 。 申 请 域名 、 租 用 虚拟 空间 等 费用 不 高 ,在 技术 方 
面 也 没有 太 高 的 技术 难度 ,因此 个 人 建设 淫秽 色情 网 站 较为 容易 实现 。 另 外 一 方面 ,由 于 网 
络 淫秽 色情 信息 的 泛滥 ,淫秽 色情 信息 资源 也 易于 发 现 和 获取 ,这 就 导致 大 量 小 型 淫秽 色情 
网 站 不 断 出 现 。 


16.5.2 淫秽 色情 网 站 推广 方式 


淫秽 色情 网 站 建设 完成 后 需要 吸引 网 民 浏 览 访 问 , 因 此 网 站 推广 是 淫秽 色情 网 站 扩大 
访问 量 必 须要 做 的 工作 。 淫 秽 色情 网 站 的 推广 方式 有 很 多 ,常见 的 方式 有 如 下 几 种 。 

(1) 在 网 络 信息 平台 发 布 推广 信息 。 大 量 同类 网 站 或 者 人 气 旺盛 的 网 络 平台 ,发布 信 
息 , 内 容 主要 有 本 网 站 介绍 或 者 本 网 站 部 分 精品 内 容 发 布 ,吸引 网 民 访问 。 

(2) 组 建 淫秽 色情 网 络 联盟 。 同 类 淫秽 色情 网 站 互通 有 无 ,建立 同盟 ,网 站 之 间 互 为 宣 
传 , 互 为 推广 。 不 少 淫秽 色情 网 站 之 间 相 互 加 入 友情 链接 ,不 仅 可 以 提高 网 站 在 互联 网 上 的 
曝光 率 , 还 可 提高 网 站 的 反 向 链接 数量 和 pr 值 ( 全 称 为 PageRank, 即 网 页 级 别 ,用 来 表现 网 
页 等 级 的 一 个 标准 ,级 别 分 别 是 0 一 10, 是 Google 用 于 评测 一 个 网 页 “重要 性 ”的 一 种 
方法 )。 

(3) 搜索 引擎 推广 。 利 用 搜索 引擎 优化 的 方式 推广 淫秽 色情 网 站 ,主要 目的 是 增加 特 
定 关键 字 的 曝光 率 以 提高 网 站 的 能 见 度 。 大 部 分 搜索 引擎 对 淫秽 色情 关键 词 采取 了 过 滤 措 
施 ,淫秽 色情 网 站 则 转 为 相近 相似 的 其 他 关键 词 来 提高 搜索 引擎 排名 ,从 而 提高 网 站 访 
问 量 。 

(4) 跟 帖 推广 等 。 由 于 搜索 引擎 的 封 堵 措 施 ,不 少 淫秽 色情 网 站 转 而 采取 论坛 跟 帖 新 
闻 评 论 跟 帖 `.QQ 群发 信息 、 聊 天 室 发 消息 等 方式 进行 推广 。 


16.5.3 淫秽 色情 网 站 营利 方式 


淫秽 色情 网 站 营利 方式 多 样 , 由 于 其 运营 成 本 极 低 ,因此 经 济 收入 相当 可 观 。 营 利 方式 
主要 有 以 下 几 种 ， 

(1) 收取 会 员 费 件 利 。 收 费 色情 网 站 主要 通过 收取 会 员 费 来 件 利 ,这 种 方式 为 会 员 设 
署 不 同 级 别 内 容 的 板块 ,根据 付费 额度 设置 会 员 级 别 ,或 者 通过 购买 虚拟 礼物 等 方式 吸引 会 
员 付 费 。 

(2) 网 盘 下 载 件 利 。 淫秽 色 情 网 站 发 布 网 盘 下 载 的 链接 ,网 盘 在 用 户 下 载 时 会 弹出 很 
多 广告 ,网 盘 厂 商 赚 取 广告 费用 ,并 把 广告 费 与 淫秽 色情 网 站 发 布 者 进行 利益 分 成 。 

(3) 广告 件 利 。 淫 秽 色 情 网 站 在 页 面 投放 赌博 ` 违 禁 品 销售 等 广告 ,通过 广告 流量 \ 点 
fi 量 等 赚 取 广告 费 。 

(4) 流量 牟利 。 据 互联 网 数据 显示 ,大 型 淫秽 色情 网 站 的 访问 量 和 流量 惊人 ,访问 量 通 
过 各 种 营利 模式 可 以 转化 为 网 站 收入 ,相应 的 也 可 以 给 淫秽 色情 网 站 带 来 巨大 营利 。 以 某 
社区 为 例 ,网 站 日 均 访问 量 超过 3000 万 ; 稳定 活跃 用 户 接近 1400 万 ; 用 户 驻 留 的 平均 时 间 
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达 32 分 钟 ; 平均 每 天 发 片 400 部 ,每 部 片 累计 下 载 数量 高 达 10 万 次 ; 平均 每 日 更 新 帖子 1 
万 个 ,每 个 帖子 平均 访问 量 为 30 万 次 ,每 个 帖子 经 济 效益 为 30 一 50 美元 。 也 就 是 说 ,这 家 
网 站 每 天 的 收入 最 少 也 有 30 一 50 万 美元 。 

(5) 挂 马 件 利 。 免 费 淫秽 色情 网 站 营利 模式 之 一 是 传播 木马 ,淫秽 色情 网 站 挂 载 . 执 行 恶 
意 脚 本 。 访 问 者 的 计算 机 系统 存在 Flash 漏洞 ,Office 漏洞 .IE 漏洞 .Windows 系统 漏洞 等 相关 
漏洞 时 ,会 执行 病毒 下 载 等 恶意 操作 , 盗 取 游戏 网银 账号 密码 ,窃取 游戏 装备 或 者 网 银 资金 。 


16.6 网 络 淫秽 色情 案件 的 法 律 约束 


16.6.1 《中 华人 民 共 和 国 刑法 》 


《中 华人 民 共 和 国 刑法 》 对 制作 、 贩 卖 和 传播 淫秽 物品 有 严厉 的 处 罚 规定 : 

第 三 百 六 十 三 条 ”以 牟利 为 目的 ,制作 、 复 制 、 出 版 .贩卖 ,传播 淫秽 物品 的 ,处 三 年 以 下 
有 期 徒刑 .拘役 或 者 管制 ,并 处 罚金 ; 情节 严重 的 ,处 三 年 以 上 十 年 以 下 有 期 徒刑 ,并 处 罚 
金 ; 情节 特别 严重 的 ,处 十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 ,并 处 罚金 或 者 没收 财产 。 

第 三 百 六 十 四 条 ”传播 淫秽 的 书刊 .影片 .音像 ,图片 或 者 其 他 淫秽 物品 ,情节 严重 的 ， 
处 二 年 以 下 有 期 徒刑 ,拘役 或 者 管制 。 

组 织 播放 淫秽 的 电影 .录像 等 音像 制品 的 ,处 三 年 以 下 有 期 徒刑 .拘役 或 者 管制 ,并 处 罚 
金 ; 情节 严重 的 ,处 三 年 以 上 十 年 以 下 有 期 徒刑 ,并 处 罚金 。 

制作 ,复制 淫秽 的 电影 .录像 等 音像 制品 组 织 播放 的 ,依照 第 二 款 的 规定 从 重 处 罚 。 向 
不 满 十 八 周岁 的 未 成 年 人 传播 淫秽 物品 的 ,从 重 处 罚 。 


16.6.2 《中 华人 民 共 和 国治 安 管理 处 罚 法 》 


第 六 十 八条 ”制作 ,运输 .复制 出售、 出 租 淫秽 的 书刊 .图 片 .影片 .音像 制品 等 淫秽 物 
品 或 者 利用 计算 机 信息 网 络 、 电 话 以 及 其 他 通讯 工具 传播 淫秽 信息 的 ,处 十 日 以 上 十 五 日 以 
下 拘留 ,可 以 并 处 三 千 元 以 下 罚款 ; 情节 较 轻 的 ,处 五 日 以 下 拘留 或 者 五 百 元 以 下 罚款 。 
16.6.3 《全国 人民 代表 大 会 常务 委员 会 关于 秆 治 走私 、 制 作 、 贩卖 、 

传播 淫秽 物品 的 犯罪 分 子 的 决定 》 

以 件 利 为 目的 ,制作 、 复 制 .出 版 .贩卖 .传播 淫秽 物品 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘 
役 ,并 处 罚金 ; 情节 严重 的 ,处 三 年 以 上 十 年 以 下 有 期 徒刑 ,并 处 罚金 ; 情节 特别 严重 的 ,处 
十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 .并 处 罚金 或 者 没收 财产 。 

16.6.4 《关于 办 理 淫秽 物品 刑事 案件 具体 应 用 法 律 的 规定 》 


一 、 以 营利 为 目的 ,制作 、 贩 卖 .传播 淫秽 物品 ,有 下 列 情形 之 一 的 ,依照 刑法 第 一 百 七 
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十 条 的 规定 追究 刑事 责任 : 
(一 ) 制作 淫秽 录像 带 5 一 10 盒 以 上 ,淫秽 录音 带 10 一 20 盒 以 上 ,淫秽 扑克 书刊 ,画册 10 一 
20 副 ( 册 ) 以 上 ,或 者 淫秽 照片 画 片 50 一 100 张 以 上 的 ; (其 他 略 ) ,对 具体 的 数量 进行 了 规定 。 


16.6.5 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 
(修正 )》 


第 十 三 条 ”从 事 国际 联网 业务 的 单位 和 个 人 ,应 当 遵守 国家 有 关 法 律 .行政 法规 ,严格 

执行 安全 保密 制度 ,不 得 利用 国际 联网 从 事 危 害 国家 安全 泄露 国家 秘密 等 违法 犯罪 活动 ， 

不 得 制作 、 查 阅 、 复 制 和 传播 妨碍 社会 治安 的 信息 和 淫秽 色情 等 信息 。 

16.6.6 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 
实施 办 法 》 

第 二 十 条 ”互联 单位 、 接 入 单位 和 用 户 应 当 遵 守 国家 有 关 法 律 .行政 法 规 ,严格 执行 国 
家 安全 保密 制度 ; 不 得 利用 国际 联网 从 事 危 害 国 家 安全 ,泄露 国家 秘密 等 违法 犯罪 活动 ,不 
得 制作 .查阅 .复制 和 传播 妨碍 社会 治安 和 淫秽 色情 等 有 害 信息 ; 发 现 有 害 信息 应 当 及 时 向 
有 关 主 管 部 门 报告 ,并 采取 有 效 措施 ,不 得 使 其 扩散 。 


16.6.7 《互联 网 信息 服务 管理 办 法 》 


第 十 五 条 ”互联 网 信息 服务 提供 者 不 得 制作 、 复 制 \ 发 布 .传播 含有 下 列 内 容 的 信息 : 
散布 淫秽 、 色 情 、 赌 博 、 暴 力 、 凶 杀 、 恐 怖 或 者 教唆 犯罪 的 ; 

第 二 十 条 ”制作 、 复 制 .发 布 .传播 本 办 法 第 十 五 条 所 列 内 容 之 一 的 信息 ,构成 犯罪 的 ， 
依法 追究 刑事 责任 ; 尚 不 构成 犯罪 的 ,由 公安 机 关 、 国 家 安全 机 关 依 照 ( 中 华人 民 共 和 国治 
安 管理 处 罚 条 例 兴 计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 》 等 有 关 法 律 、 行 政法 规 的 规 
定 予 以 处 罚 ; 对 经 营 性 互联 网 信息 服务 提供 者 ,并 由 发 证 机 关 责 令 停业 整顿 直至 吊销 经 营 
许可 证 ,通知 企业 登记 机 关 ; 对 非 经 营 性 互联 网 信息 服务 提供 者 ,并 由 备案 机 关 责令 暂时 关 
闭 网 站 直至 关闭 网 站 。 

16.6.8 《关于 办 理 利 用 互联 网 移动 通讯 终端 \ 声 讯 台 制作 、 复 制 、 出 
版 .贩卖 .传播 泾 移 电 子 信息 刑事 案件 具体 应 用 法 律 若 干 问 
题 的 解释 )( 一 ) 和 (二 ) 

为 了 打击 网 络 淫秽 色情 案件 的 需要 ,最 高 检 、 最 高 法 于 2004 年 和 2010 年 出 台 了 《关于 
办 理 利用 互联 网 移动 通讯 终端 .声讯台 制 作 、 复 制 . 出 版 ,贩卖 .传播 淫秽 电子 信息 刑事 案件 
具体 应 用 法 律 若干 问题 的 解释 》 和 《关于 办 理 利用 互联 网 、 移 动 通讯 终端 声讯台 制作 、 复 制 、 
出 版 ,贩卖 .传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 (二 )》 两 个 司法 解释 。 

司法 解释 一 解决 了 传播 淫秽 物品 适用 法 律 的 主要 问题 : 一 是 从 传播 淫秽 物品 的 数量 、 
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点 击 数量 ,注册 会 员 数量 .违法 所 得 数额 等 方面 确定 了 定罪 量刑 标准 ; 二 是 对 于 明知 是 淫秽 
信息 而 在 自己 管理 的 网 站 上 提供 直接 链接 的 行为 按照 传播 淫秽 信息 的 行为 定罪 处 罚 ; 三 是 
对 传播 儿童 色情 信息 ,向 未 成 年 人 传播 淫秽 物品 、 通 过 恶意 代码 强制 用 户 访问 淫秽 信息 等 行 
为 作为 从 重 处 罚 的 情节 ; 四 是 对 明知 他 人 传播 淫秽 物品 而 为 其 提供 帮助 的 行为 ,明确 以 共 
同 犯 罪 论 处 。 

司法 解释 二 解决 的 问题 包括 : 一 是 针对 设立 主要 用 于 传播 淫秽 电子 信息 的 群 组 ,明确 
成 员 达 到 30 人 以 上 的 , 即 以 传播 淫秽 物品 罪 定罪 处 罚 ; 二 是 对 于 明知 是 淫秽 电子 信息 而 放 
任 他 人 在 自己 网 站 上 发 布 的 行为 ,明确 按照 传播 淫秽 物品 罪 定罪 处 罚 ,比如 某 个 网 站 或 者 搜 
索引 擎 上 频繁 出 现 淫 秽 信息 ,在 公安 机 关 书 面 告知 后 仍 没 有 采取 有 效 措施 导致 淫秽 信息 仍 
然 在 其 网 站 或 者 搜索 引擎 上 草 延 , 则 应 当 依法 定罪 处 罚 ; 三 是 明确 传播 淫秽 儿童 色情 信息 
行为 从 重 处 罚 的 定罪 量刑 标准 ,将 传播 儿童 色情 信息 的 定罪 数量 降 为 一 般 淫秽 信息 的 一 半 ; 
四 是 对 网 络 淫秽 色情 活动 提供 帮助 的 利益 链条 确定 独立 的 定罪 量刑 标准 : 一 方面 是 对 从 淫 
秽 色 情 活动 获 利 的 利益 链条 明确 定罪 量刑 标准 , 即 对 于 明知 是 淫秽 色情 网 站 , 仍 为 其 提供 互 
联网 接 入 、 网 络 存 储 空间 、 代 收费 等 帮助 并 收取 费用 ,按照 传播 淫秽 物品 牟利 罪 定罪 处 罚 ; 
另 一 方面 是 对 为 淫秽 色情 活动 提供 资金 的 利益 链条 确定 定罪 量刑 标准 ,以 打击 网 络 淫秽 色 
情 活 动 的 经 济 来 源 , 对 于 明知 是 淫秽 色情 网 站 而 通过 向 其 投放 广告 等 方式 向 其 直接 或 者 间 
接 提 供 资金 ,或 者 提供 费用 结算 服务 的 行为 按照 传播 淫秽 物品 件 利 罪 的 共同 犯罪 处 罚 ; 五 
是 明确 了 认定 为 “明知 ”的 几 种 情形 ,包括 在 行政 主管 机 关 书 面 告知 后 仍然 实施 “上 述 行为 ”、 
“ 接 到 举报 后 不 履行 法 定 管理 职责 的 ”等 五 种 情形 。 


16.7 网 络 淫秽 色情 案件 的 侦查 要 点 


16.7.1 案件 管辖 


网 络 案件 管辖 的 规定 适用 于 网 络 淫秽 色情 案件 。 针 对 或 者 利用 计算 机 网 络 实施 的 犯 
罪 , 用 于 实施 犯罪 行为 的 网 站 服务 器 所 在 地 、 网 络 接 入 地 以 及 网 站 建立 者 或 者 管理 者 所 在 
地 ,被 侵害 的 计算 机 信息 系统 及 其 管理 者 所 在 地 ,以 及 犯罪 过 程 中 犯罪 分 子 、 被 害 人 使 用 的 
计算 机 信息 系统 所 在 地 公安 机 关 均 可 以 管辖 。 对 于 网 络 淫秽 色情 案件 ,淫秽 色情 网 站 的 服 
务 器 所 在 地 、 网 络 接 入 地 以 及 网 站 管理 者 所 在 地 的 公安 机 关 都 有 管辖 权 , 网 络 淫秽 色情 犯罪 
一 般 涉及 多 个 环节 .每 个 环节 的 犯罪 嫌疑 人 或 为 网 络 淫秽 色情 犯罪 提供 帮助 的 犯罪 嫌疑 人 ， 
其 犯罪 地 或 者 居住 地 公安 机 关 也 可 以 立案 侦查 。 


16.7.2 立案 审查 


网 络 淫秽 色情 案件 的 立案 审查 主要 是 对 淫秽 色情 案件 性 质 的 判断 ,需要 明确 涉及 的 网 
络 信息 内 容 是 否 为 淫秽 色情 、 淫 秽 色 情 信 息 的 数量 ,点 击 次 数 等 是 否 构成 违法 或 犯罪 ,涉及 
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的 行为 是 否 为 犯罪 行为 。 

关于 淫秽 色情 信息 的 认定 ,我 国 (刑法 兴 全 国人 大 常委 会 关于 惩治 走私 、 制 作 \ 贩 卖 、 传 
播 淫秽 物品 的 犯罪 分 子 的 决定 》 等 法 律 有 明确 的 规定 .《 最 高 人 民法 院 . 最 高 人 民 检 察 院 关 
于 办 理 淫 秽 物 品 刑事 案件 具体 应 用 法 律 的 规定 ?对 淫秽 物品 认定 的 要 求 是 ,应 有 公安 机 关 开 

具 的 淫秽 物品 清单 和 必要 的 实物 照片 ,以 及 鉴定 部 门 出 具 的 鉴定 书 。 如 果 人 民法 院 或 者 人 

民 检 察 院 对 鉴定 结论 认为 需要 复核 时 ,可 以 分 别 经 人 民法 院 院 长 或 者 人 民 检 察 院 检 察 长 批 
准 ,由 主要 办 案 人 员 到 鉴定 部 门 进行 复核 。 总 之 ,是 否 是 淫秽 色情 信息 应 该 由 有 关 鉴 定 机 构 
进行 认定 ,鉴定 意见 是 重要 的 证 据 材 料 。 

关于 网 络 传播 淫秽 色情 犯罪 的 认定 ,网 络 传播 淫秽 色情 的 定罪 量刑 标准 主要 依据 是 
2004 年 发 布 的 (最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 利用 互联 网 、 移 动 通讯 终端 声讯 
台 制 作 、 复 制 、 出 版 .贩卖 ,传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若 干 问题 的 解释 》, 对 制 
作 、 复 制 . 传 播 淫秽 视频 、 视 频 , 图 片 , 文 章 , 短 信 等 电子 信息 的 定罪 量刑 数量 标准 做 了 具体 
规定 。 

网 络 淫秽 色情 案件 在 立案 审查 中 应 该 查 明 涉案 的 淫秽 色情 信息 的 性 质 , 区 分 不 同 的 类 
型 和 文件 数量 来 判定 是 否 涉嫌 犯罪 。 点 击 次 数 需 要 依据 网 站 的 统计 作为 计算 依据 ,解释 中 
未 区 分 是 否 不 同 IP 的 点 击 次 数 ,因此 可 以 根据 总 次 数 确 定 ,不 需要 区 分 是 不 同 IP 点 击 的 次 
数 。 注 册 会 员 数量 应 该 根据 网 站 的 后 台 统计 数据 确认 。 


16.7.3 侦查 措施 和 流程 


网 络 淫秽 色情 案件 的 侦查 过 程 中 ,要 重点 开展 好 线索 发 现 . 扩 线 追 查 、 侦 查 取 证 、 国 际 合 
作 几 个 方面 的 工作 。 

(1) 线索 发 现 和 收集 方面 ,网 络 淫秽 色情 网 站 和 网 络 淫秽 色情 信息 的 传播 渠道 相对 隐 
蔽 ,因此 打击 网 络 淫秽 色情 犯罪 首先 要 做 好 线索 的 发 现 和 收集 工作 。 一 是 加 强 对 互联 网 信 
息 的 检查 和 巡查 力度 ,及 时 发 现 淫秽 色情 信息 。 二 是 加 强 群 众 举 报 线索 的 受理 和 初 查 , 公 安 
机 关 和 相关 部 门 对 外 的 举报 网 站 、 接 警 电话 等 渠道 是 案件 线索 的 一 个 重要 来 源 。 三 是 重点 
场所 的 管理 ,对 于 提供 网 络 接 入 服务 、 网 络 数据 中 心 .虚拟 空间 租赁 服务 单位 等 要 加 强 管理 ， 
落实 相关 监管 责任 ,及 时 发 现 违法 线索 。 四 是 加 强 网 上 论坛 .社交 网 络 群 组 等 社区 的 巡查 力 
度 , 及 时 发 现 涉嫌 网 络 淫秽 色情 犯罪 的 线索 。 

(2) 追查 扩 线 方面 ,要 充分 利用 网 络 资源 进行 追查 扩 线 。 针 对 利用 即时 通讯 群 组 开展 
网 络 淫秽 色情 传播 的 案件 ,可 以 采取 化 装 侦查 的 方式 加 入 相关 即时 通信 群 组 ,及 时 发 现 、 
定 犯罪 证 据 。 

(3) 根据 淫秽 色情 网 站 的 件 利 渠 道 追查 扩 线 。 淫 秽 色情 网 站 的 牟利 性 明显 ,大 多 数 淫 
物色 情 网 站 建设 者 的 主要 目的 是 通过 网 站 非法 获取 利益 ,对 资金 流 的 追查 可 以 从 两 方面 开 
展 : 一 方面 是 网 站 注册 费 、 会 员 费 渠道 ,追查 会 员 费 的 来 源 和 去 向 ,可 以 追查 到 会 员 的 资金 
线索 以 及 网 站 建设 者 的 资金 线索 ; 另 一 方面 ,网 站 还 会 通过 广告 联盟 牟利 ,与 传统 淫秽 色情 
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网 站 相 比 ,现在 的 淫秽 色情 网 站 件 利 方式 已 经 发 生 重大 变化 ,更 多 利用 广告 件 利 , 淫 秽 色 情 
网 站 已 经 形成 一 个 个 人 制作 网 站 ,流量 联盟 推广 ,广告 联盟 根据 点 击 率 提 供 广 告 费 用 返还 的 
完整 产业 链 ,从 淫秽 色情 相关 产业 链 入 手 , 可 以 顺 线 追 查 淫 秽 色情 网 站 的 获 利 来 源 及 资金 
流向 。 

(4) 侦查 取证 方面 ,要 及 时 发 现 , 提 取 、 固 定 证 据 , 及 时 进行 鉴定 。 网 络 淫秽 色情 信息 的 
传播 数量 较 大 、 变 化 快 ,是 否 构成 犯罪 以 及 犯罪 的 情节 轻重 都 与 淫秽 色情 信息 数量 密切 相 
关 , 因 此 要 在 发 现 网 络 传播 淫秽 信息 后 ,及 时 开展 取证 工作 ,采取 录像 .截屏 .下 载 等 方式 提 
取 、 固 定 涉案 的 网 络 疑 似 淫秽 色情 信息 。 对 于 疑似 淫秽 色情 信息 内 容 要 及 时 送 交 相关 机 构 
进行 审查 鉴定 ,确定 疑似 淫秽 色情 信息 内 容 的 性 质 。 在 淫秽 色情 信息 的 点 击 次 数 方面 ,要 注 
意 网 站 实际 访问 次 数 与 计数 器 次 数 的 区 别 , 如 某 地 公安 机 关 侦 办 的 * 满 庭 芳 ”色情 网 站 案 中 ， 
色情 网 站 访问 人 次 计数 器 显示 为 16 386 次 , 据 嫌 疑 人 交代 计数 器 的 基数 为 8888 次 ,经 对 网 
站 数据 进行 检验 鉴定 ,认定 嫌疑 人 所 述 属实 ,最 终 实 际 访问 人 数 的 认定 应 为 7000 余 次 。 

(5) 国际 合作 方面 ,针对 境外 逃避 打击 的 情况 要 充分 利用 各 国法 律 特点 ,通过 司法 合作 
展 跨国 打击 。 大 量 淫秽 色情 网 站 的 服务 器 架设 在 国外 ,而 且 有 很 多 淫秽 色情 网 站 为 了 规 
避 法 律 , 故 意 把 服务 器 架设 在 成 人 色情 合法 化 的 国家 或 者 租用 境外 主机 。 然 而 涉及 儿童 色 
情 的 淫秽 色情 网 站 ,属于 各 国共 同 打 击 的 对 象 ,可 以 通过 国际 合作 将 犯罪 分 子 绳 之 以 法 。 


16.7.4 讯问 和 询问 


现场 的 讯问 和 询问 对 于 网 络 犯罪 案件 的 侦破 非常 重要 。 讯 问 和 询问 不 是 简单 的 一 问 一 
答 ,如 何 准确 地 让 对 方 描述 案件 过 程 和 结果 ,是 获取 犯罪 线索 和 固定 犯罪 证 据 的 重要 环节 。 

侦查 讯问 适用 的 对 象 是 犯罪 嫌疑 人 。 网 络 淫秽 色情 案件 的 讯问 主要 关注 点 为 嫌疑 人 建 
设 淫 秽 色情 网 站 的 目的 \ 动 机 等 主观 方面 的 因素 ,客观 方面 要 讯问 建设 网 站 租赁 服务 器 、 注 
册 域 名 等 网 站 建设 情况 ,涉及 管理 团队 的 需要 讯问 管理 团队 的 招募 .分 工 等 情况 ,涉及 以 牢 
利 为 目的 而 制作 传播 淫秽 色情 信息 的 ,需要 讯问 相关 的 获 利 .资金 转移 等 情况 。 

侦查 询 间 适用 的 对 象 包括 报案 人 、 被 害 人 、 证 人 、 违 法 行为 人 等 案件 中 明确 为 刑事 犯罪 
嫌疑 人 之 外 的 案件 关联 人 员 。 网 络 淫秽 色情 案件 的 询问 ,应 针对 网 络 淫秽 色情 的 特点 ,例如 
组 织 架 构 ,淫秽 色情 信息 来 源 、. 付 费 情况 等 等 。 

在 讯问 和 询问 过 程 中 ,对 于 主观 方面 是 否 为 明知 淫秽 色情 信息 需要 查 明 嫌疑 人 是 否 能 
够 看 到 或 了 解 到 相关 信息 的 内 容 , 在 故意 方面 要 查 明 是 否 采取 了 封 堵 过 滤 等 措施 ,如 果 嫌 疑 
人 和 否认 故意 传播 ,可 以 结合 是 否 有 接 到 相关 部 门 的 处 罚 通知 以 及 其 他 渠道 的 举报 投诉 情况 ， 
有 无 采取 主动 防范 措施 等 情况 判定 。 


16.7.5 排查 和 抓 捕 


网 络 淫秽 色情 案件 的 侦查 工作 可 以 围绕 网 上 、 网 下 侦查 以 及 信息 流 、 资 金 流 的 侦查 几 个 
方面 开展 。 由 于 网 络 淫秽 色情 犯罪 的 隐蔽 性 ,需要 加 强 网 络 信息 的 排查 ,在 侦查 过 程 中 ,要 
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善于 利用 互联 网 公开 资源 和 公安 机 关 的 公共 管理 资源 ,深入 梳理 摸排 网 络 传播 淫秽 色情 线 
索 , 发 现 线索 后 顺 线 追 查 , 逐 步 明确 网 站 人 员 构 成 分 工 . 运 营 模式 访问 人 员 结构 等 。 

(1) 从 网 络 服务 器 人 手 排查 嫌疑 人 。 网 络 淫秽 色情 犯罪 无 论 涉及 淫秽 色情 网 站 、 论 坛 
还 是 淫秽 色情 聊天 室 等 ,都 要 使 用 特定 的 域名 或 者 服务 器 ,通过 调查 淫秽 色情 网 站 的 域名 注 
册 、 网 站 程序 开发 .服务 器 租用 、 网 站 建设 及 维护 相关 的 情况 可 以 获取 建设 人 、 维 护 人 的 身份 
及 线索 。 

(2) 准确 、 及 时 地 查 明 嫌疑 人 身份 。 通 过 网 络 传播 淫秽 物品 ,有 别 于 一 般 的 通过 销售 淫 
秽 图 书 、 音 像 制 品 、 光 碟 等 途径 传播 ,淫秽 色情 网 站 的 站 长 ,管理 员 、 会 员 等 一 般 都 使 用 虚拟 
账号 活动 ,需要 查 明 淫秽 色情 网 站 中 主要 管理 人 员 以 及 会 员 的 账号 和 真实 身份 。 如 某 地 公 
安 机 关 侦 办 的 “ 某 网 络 传播 淫秽 物品 案 ” 中 ,全 部 查 清 了 涉及 当地 的 10 个 会 员 账 号 使 用 人 身 
份 , 准 确 锁定 了 嫌疑 对 象 ,为 成 功 抓 捕 创造 了 良好 条 件 。 

(3) 周密 计划 ,统一 抓 捕 。 网 络 淫秽 色情 案件 中 ,参与 实施 犯罪 行为 人 数 一 般 较 多 ,而 
且 相 互 间 通过 站 内 短信 ,论坛 私信 、 即 时 通讯 群 组 等 方式 密切 联系 。 针 对 主要 涉案 人 员 的 抓 
捕 时 机 成 熟 后 ,需要 制定 周密 详细 的 抓 捕 计划 ,否则 很 容易 抓 一 个 而 惊动 一 片 ,导致 其 他 涉 
案 人 员 潜 逃 .隐藏 毁灭 证 据 等 不 利 后果 。 因 此 ,实施 抓 捕 的 统一 性 .时 效 性 非常 重要 。 应 选 
择 合适 时 机 实施 抓 捕 行 动 , 确 保良 好 的 抓 捕 效果 。 


16.7.6 勘查 取证 


电子 数据 勘查 取证 工作 是 网 络 案件 侦查 的 重 中 之 重 ,在 网 络 淫秽 色情 犯罪 案件 侦办 过 
程 中 ,及 时 通过 勘 验 检查 获取 传播 淫秽 色情 信息 的 内 容 ` 数 量 , 传 播 人 次 也 是 此 类 案件 侦办 
工作 的 关键 点 。 在 网 络 淫秽 色情 案件 的 勘查 取证 工作 中 要 注意 做 好 以 下 几 个 方面 的 工作 。 

(1) 及 时 通过 勘 验 检查 提取 、 固 定 色情 信息 证 据 。 如 某 淫秽 色情 聊天 室 “ 裸 聊 聊 天 室 ” 
案件 侦办 过 程 中 ,侦查 人 员 及 时 开展 网 上 侦查 取证 工作 ,经 过 ?7 天 的 全 天 候 24 小 时 不 间断 
取证 , 共 提 取 犯 罪 嫌疑 人 组 织 淫秽 表演 证 据 100 余 场 次 ,锁定 主要 犯罪 嫌疑 人 20 余 名 ,为 下 
一 步 打 击 工作 黄 定 了 重要 的 基础 。 若 不 能 及 时 将 犯罪 嫌疑 人 正在 实施 淫秽 表演 行为 的 犯罪 
证 据 固定 下 来 ,证 据 会 稍 纵 即 逝 , 即 使 人 员 身 份 清楚 ,也 无 法 对 其 依法 打击 处 理 。 有 些 案件 
中 ,犯罪 嫌疑 人 在 淫秽 色情 网 站 上 传播 淫秽 物品 达到 了 刑事 打击 标准 ,但 是 由 于 取证 不 及 
时 ,导致 大 量 证 据 被 删除 ,损毁 ,无 法 使 犯罪 嫌疑 人 受到 应 有 的 惩处 。 

(2) 确保 特定 人 员 账 号 与 其 制作 传播 淫秽 色情 信息 关联 性 。 在 传播 网 络 淫 秽 色情 案 
件 , 需 要 提取 固定 嫌疑 人 使 用 的 网 络 论 坛 账号 及 其 发 布 的 内 容 .嫌疑 人 在 从 事 传播 色情 信 
息 活动 时 都 会 使 用 网 站 账号 来 匿名 发 布 .提取 、 固 定 信 息 时 应 该 区 分 不 同人 员 发 布 的 不 同 信 
息 ,; 同 时 提取 发 布 者 的 账号 和 发 布 的 色情 内 容 信息 ,将 发 布 者 账号 与 发 布 的 内 容 相 互 关 联 ， 
以 作为 特定 人 员 打 击 处 理 的 定案 依据 。 

(3) 在 取证 勘查 过 程 中 ,提取 网 络 账号 与 账号 使 用 人 之 间 的 关联 性 证 据 。 一 方面 要 注 
意 提 取 色 情 网 站 服务 器 上 的 登录 日 志 、 管 理 维护 日 志 等 日 志 信 息 ,提取 其 中 嫌疑 人 账号 的 登 
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录 、 使 用 信息 ; 另 一 方面 ,要 在 勘查 取证 中 查找 并 提取 嫌疑 人 使 用 的 上 网 计算 机 ,通过 电子 
数据 检查 .数据 恢复 等 技术 提取 嫌疑 人 计算 机 上 的 账号 登录 使 用 记录 ,证 明 嫌疑 人 在 此 计算 
机 上 登录 并 使 用 了 相应 的 网 络 账号 ,实施 了 违法 犯罪 活动 。 

(4) 准确 认定 淫秽 色情 信息 的 内 容 和 传播 人 次 。 在 勘查 取证 过 程 中 提取 固定 的 淫秽 色 
情 音 视频 ,文字 等 材料 应 经 过 有 关 鉴 定 机 构 鉴 定 , 并 出 具 书 面 鉴 定 意见 ,确定 传播 内 容 是 否 
涉及 淫秽 色情 。 通 过 准确 提取 点 击 次 数 、 下 载 次 数 、 群 组 人 数 等 数量 证 明 淫 秽 色 情 信息 的 传 
播 人 次 ,数量 的 判断 依据 一 般 是 根据 网 站 的 点 击 次 数 确定 ,需要 认定 点 击 次 数 的 起 始 统 计数 
和 实际 统计 数 的 关系 。 


16.7.7 侦查 终结 


破案 需要 具备 一 定 的 条 件 , 基 本 的 条 件 是 犯罪 事实 已 经 查 清 ,证 据 材 料 确凿 。 在 网 络 淫 
秽 色情 案件 侦查 中 ,嫌疑 人 制作 传播 网 络 淫秽 色情 信息 的 主要 犯罪 事实 查 清 , 并 且 掌 握 了 确 
辫 的 证 据 可 以 证 明 , 这 是 破案 的 必要 条 件 。 
在 网 络 淫秽 色情 案件 中 ,应 该 查 清 嫌疑 人 制作 、 传 播 ,贩卖 网 络 淫秽 色情 信息 、 组 织 网 络 
淫秽 表演 等 主要 事实 ,要 对 侦查 过 程 中 获取 的 线索 和 材料 进行 认真 分 析 和 审核 ,线索 之 间 相 
互 衔接 ,因果 关系 、 时 间 关 系 、 空 间 关系 清楚 合理 , 查 明 了 淫秽 色情 网 站 的 主要 建设 者 、 论 坛 
的 版 主 \ 管 理 员 等 参与 管理 者 ,相关 人 员 的 真实 身份 和 基本 情况 已 经 掌握 ,对 嫌疑 人 网 上 活 
动 和 网 下 活动 情况 基本 清楚 ,以 牟利 为 目的 的 ,其 件 利 方式 和 资金 数额 \ 流 向 等 基本 查 清 , 具 
备 这 些 条 件 之 后 ,可 以 认为 案件 涉及 的 主要 犯罪 事实 已 经 基本 查 清 。 

证 据 材 料 方面 ,已 经 取得 的 证 据 材 料 符合 真 实 性 、 合 法 性 ,关联 性 的 要 求 , 证 据 材料 可 以 
证 明 主要 犯罪 事实 ,对 于 个 别 情节 尚未 查 清 , 个 别 证 据 材 料 还 未 获取 的 ,只 要 主要 犯罪 事实 
有 证 据 证 明 也 可 以 宣布 破案 。 在 网 络 淫秽 色情 案件 中 ,淫秽 色情 的 内 容 经 过 鉴定 ,数量 已 经 
有 证 据 证 明 , 获 取 了 网 站 架设 ,技术 维护 会费 收取 ,广告 费 收入 等 情况 的 相关 证 明 材 料 后， 
可 以 认为 主要 的 证 据 材 料 已 经 具备 。 

对 于 犯罪 事实 清楚 ,证 据 确实 \ 充 分 ,法 律 手续 完备 ,依法 应 当 追 究 刑事 责任 的 案件 ,应 
当 制 作 《起 诉 意见 书 》, 经 县 级 以 上 公安 机 关 负 责 人 批准 后 ,连同 案卷 材料 .证据 ,一 并 移交 同 
级 人 民 检 察 院 审查 决定 。 


16.8 网 络 淫秽 色情 案件 的 证 据 要 点 


16.8.1 证 据 形 式 


网 络 淫秽 色情 案件 的 证 据 形式 与 一 般 刑事 案件 相同 《刑事 诉讼 法 ?第 四 十 八条 规定 ， 
可 以 用 于 证 明 案 件 事实 的 材料 都 是 证 据 , 证 据 包 括 物证 ,书证 .证 人 证 言 等 八 种 。 网 络 色情 
案件 的 证 据 形 式 一 般 都 会 涵盖 八 种 证 据 形 式 , 但 由 于 此 类 案件 都 是 通过 网 络 服务 器 、 网 络 应 
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用 进行 违法 犯罪 的 ,网 站 的 HTTP 访问 日 志 、 论 坛 后 台 记 录 、 远 程 的 管理 维护 记录 、 客 户 端 
的 浏览 记录 都 以 电子 数据 形式 存在 ,因此 在 网 络 淫秽 色情 案件 中 ,电子 数据 形式 的 证 据 材 料 
是 其 中 一 种 主要 的 证 据 形 式 。 
16.8.2 证 据 内 容 

证 据 内 容 需 要 涵盖 主体 要 件 、 客 体 要 件 、 主 观 方面 .客观 方面 四 要 件 方 面 的 要 素 。 

根据 刑法 规定 ,构成 网 络 淫 秽 色 情 案件 的 前 提 , 主 观 方面 是 直接 故意 ,经 过 认定 如 果 行 
为 人 是 操作 失误 而 发 送出 淫秽 信息 的 ,不 构成 此 罪 , 至 于 出 于 什么 样 的 动机 、 目 的 ,不 能 影响 
相关 罪名 成 立 。 如 果 由 于 网 络 故障 或 其 他 客观 因素 导致 传播 失败 的 情况 ,应 当 以 犯罪 未 遂 
论处 ,证据 材 料 应 该 包含 嫌疑 人 明知 或 者 故意 传播 淫秽 色情 信息 的 证 据 。 


16.9 网 络 淫秽 色情 典型 案例 剖析 


“阳光 娱乐 联盟 ” 案 是 我 国 公安 机 关 近 年 来 侦办 的 一 起 典型 网 络 淫秽 色 
情 案件 。2002 年 1 月 ,犯罪 嫌疑 人 王 某 建立 了 "“ 九 九 情 色 论 坛 ” 网 站 。 该 网 站 
被 摧毁 后 ,又 通过 加 盟 、 收 购 等 方式 ,将 用 户 量 最 多 的 48 家 中 文 淫秽 色情 网 站 
纳入 其 管理 范围 ,形成 全 球 最 大 的 中 文 淫秽 色情 网 站 联盟 “阳光 娱乐 联盟 ”。 
截至 2011 年 6 月 , 王 某 先 后 在 中 国境 内 吸收 淫秽 网 站 各 级 版 主 1000 余人 、 接 
纳 注 册 会 员 1000 多 万 人 ,各 网 站 共有 淫秽 主题 500 多 万 个 ,各 类 主题 点 击 量 
超过 10 化 次 。 


“阳光 娱乐 联盟 ”网 站 通过 收取 会 费 和 广告 费 方式 非法 牟取 巨额 利益 。 网 站 设置 了 不 同 
级 别 的 会 员 权限 ,不 同 权限 的 会 员 访 问 的 内 容 不 同 , 会 员 通 过 付费 或 者 累积 积分 提升 访问 权 
限 。 王 某 通 过 收取 淫秽 色情 网 站 注册 会 员 的 “会 员 费 * 和 广告 商 的 “广告 费 ” 等 ,非法 牟利 约 
5000 万 元 ,并 公然 宣称 要 不 断 扩大 其 中 文 淫秽 色情 网 站 数量 与 规模 。 

2004 年 ,中 国 警方 就 发 现 了 王 某 及 其 团伙 利用 淫秽 色情 网 站 件 取 暴 利 的 犯罪 事实 ,但 
由 于 王 某 及 网 站 服务 器 均 位 于 美国 ,警方 始终 无 法 从 根本 上 铲除 这 个 联盟 。 在 中 国 , 王 某 的 
行为 已 经 明显 触犯 了 刑法 ,但 是 在 美国 . 王 某所 从 事 的 成 人 淫秽 色情 活动 却 属于 合法 行为 。 
中 国 警方 在 侦查 “阳光 娱乐 联盟 ?旗下 的 48 个 网 站 时 ,发 现 其 中 有 18 个 网 站 均 含 有 儿童 色 
情 内 容 。 依 据 美 国法 律 , 发 布 儿童 性 剥削 广告 牟利 以 及 复制 ,传播 儿童 色情 信息 ,将 被 处 以 
最 高 30 年 的 监禁 。 中 国 警 方 就 此 再 次 提出 要 求 ,敦促 美国 警方 介入 案件 侦破 工作 。2010 
年 4 月 ,公安 部 与 美国 联邦 侦查 局 就 此 案 正 式 开展 跨国 警 务 合作 .我国 公安 机 关 将 王 某 涉嫌 
传播 淫秽 物品 牟利 犯罪 的 证 据 移 交 美国 警方 。2011 年 6 月 23 日 .中 美 警方 联合 实施 抓 捕 ， 
美方 抓获 该 联盟 的 建设 者 王 某 ,中 方 抓获 在 中 国境 内 负责 洗钱 和 维护 网 站 的 10 余 名 犯罪 嫌 
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疑 人 ,该 联盟 相关 淫秽 色情 网 站 已 陆续 被 关闭 。 
16.10 本 章 小 结 


本 章 介绍 了 网 络 淫秽 色情 的 概念 .形势 .类 型 等 ,并 分 析 了 当前 网 络 淫秽 色情 犯罪 的 主 
要 特点 ` 组 织 结构 .运营 方式 等 情况 ,这 对 于 全 面 了 解 网 络 淫秽 色情 的 背景 具有 一 定 的 指引 
作用 ,在 案件 侦查 工作 中 可 以 结合 网 络 淫秽 色情 犯罪 的 相关 规律 特点 开展 相应 工作 。 

本 章 还 介绍 了 网 络 淫秽 色情 相关 的 法 律 法 规 . 打 击 态势 以 及 网 络 淫秽 色情 的 管辖 要 点 
和 立案 审查 过 程 中 需要 注意 的 问题 ,这 对 于 严格 规范 执法 具有 积极 的 指导 意义 ,在 执法 实践 
中 应 该 结合 个 案 特点 审查 相关 材料 ,明确 罪 与 非 罪 、 此 罪 与 彼 罪 的 界限 。 

最 后 ,本 章 针 对 网 络 淫秽 色情 案件 介绍 了 在 排查 、 抓 捕 嫌 疑 人 过 程 中 常用 的 策略 和 方 
法 ,以 及 证 据 要 求 和 诉讼 程序 中 需要 重点 注意 的 事项 ,在 案件 侦办 过 程 中 可 以 参考 和 借鉴 ， 
读者 也 可 以 结合 实际 的 案例 加 深 理解 ,并 在 侦查 实践 中 灵活 运用 。 


1. 我 国 对 淫秽 色情 犯罪 的 界定 是 怎样 的 ? 
2. 网 络 淫秽 色情 的 类 型 有 哪些 ? 

3. 概述 网 络 淫秽 色情 的 运营 方式 。 

4 

5 


. 涉及 网 络 淫秽 色情 的 法 律 法 规 主要 有 哪些 ?常见 的 网 络 淫秽 色情 犯罪 罪名 有 哪些 ? 
. 网络 淫秽 色情 案件 在 立案 审查 过 程 中 需要 注意 的 问题 是 什么 ? 一 般 的 定罪 量刑 最 
低 标准 分 别 如 何 规定 的 ? 

6. 网 络 淫秽 色情 案件 在 排查 嫌疑 人 过 程 中 常用 的 策略 和 方法 是 什么 ? 

7. 网 络 淫秽 色情 案件 可 能 涉及 哪些 方面 的 电子 数据 证 据 ? 海量 淫秽 色情 信息 的 提取 、 
固定 有 哪些 方式 ? 


网 络 传销 案件 侦查 


本 章 学 习 目标 

。 网 络 传销 的 概念 

。 网 络 传销 的 犯罪 构成 

。 网 络 传销 的 类 型 和 特点 
。 网 络 传销 案件 的 法 律 约束 
。 网 络 传销 案件 的 侦查 要 点 
。 网 络 传销 案件 的 证 据 要 点 
。 网 络 传销 案件 剖析 


在 网 络 高 速 发 展 的 今天 ,一 些 传销 组 织 以 快速 致富 为 诱饵 ,诱骗 不 明 真 相 的 群众 通过 银 
行 汇款 等 方式 缴纳 入 门 费 ,在 网 上 注册 为 所 谓 会 员 或 代理 商 来 发 展 下 线 ,实施 网 络 传销 。 网 
络 传销 借助 网 络 发 展 速度 快 , 危 害 远 比 传统 的 传销 巨大 。 本 章 通过 介绍 网 络 传销 的 基本 含 
义 、 侦 查 要 点 以 及 通过 对 一 些 现实 生活 中 网 络 传销 的 典型 案例 的 分 析 , 以 达到 深入 学 习 网 络 
传销 案件 侦查 取证 的 目的 。 


17.1 网 络 传销 概述 


我 国 (刑法 》 中 没有 网 络 传销 的 罪名 ,网 络 传销 也 属于 传销 行为 ,是 传销 的 一 种 表现 形 
式 , 应 当 承担 从 事 传销 的 法 律 责 任 。 网 络 传销 ,是 指 组 织 者 或 者 经 营 者 利用 互联 网 这 一 网 络 
平台 发 展 人 员 , 以 虚拟 化 的 金融 概念 或 科技 概念 为 载体 ,通过 对 被 发 展 人 员 以 其 直接 或 者 间 
接 发 展 的 人 员 数 量 或 者 销售 业绩 为 依据 计算 和 给 付 报酬 ,或 者 要 求 被 发 展 人 员 以 交纳 一 定 
费用 为 条 件 取得 加 入 资格 等 方式 件 取 非法 利益 ,扰乱 经 济 秩序 ,影响 社会 稳定 的 违法 犯罪 
行为 。 
网 上 传销 的 组 织 者 通过 建立 传销 网 站 ,发 布 传销 信息 ,如 快速 致富 的 虚假 宣传 .推销 所 
谓 的 “网 页 空间 ”或 “远程 教育 资源 “奖金 ”分 配制 度 等 方式 ,骗取 ,发 展 他 人 加 入 ,参加 者 按 
照 网 上 信息 的 指示 ,向 上 线 交纳 一 定 的 “入门 费 ”后 ,取得 加 入 和 发 展 他 人 加 入 的 资格 ,同时 
获得 网 站 的 用 户 名 和 密码 ,可 以 赁 此 登录 网 站 ,并 利用 该 网 站 以 同样 的 方式 继续 发 展 下 线 ， 
并 可 以 依据 发 展 下 线 的 人 员 数 量 , 从 下 线 交纳 的 钱 款 中 获得 一 定 比 例 的 回报 。 传 销 人 员 会 


506 网 络 犯罪 侦查 


在 网 上 发 布 自己 的 账号 或 者 汇款 账号 ,上 下 线 之 间 一 般 通过 银行 .邮政 汇款 等 方式 来 收取 入 
门 费 等 费用 和 发 放 “ 回 报 ”。 

与 传统 传销 形式 不 同 的 是 ,网 络 传销 以 互联 网 为 依托 ,组 织 者 在 网 上 发 布 传销 信息 , 参 
加 者 浏览 接收 信息 ,按照 信息 指示 开展 活动 ,通过 网 站 继续 发 展 人 员 ,并 反馈 个 人 账户 资 
料 \ 发 展 下 线 情况 等 信息 ,形成 “信息 链 ”。 

在 资金 流转 上 ,通过 银行 .第 三 方 支付 平台 等 实现 收取 钱财 发 放 回报 的 流程 ,形成 资金 
链 ”。 传 销 组 织 一 般 没有 真正 的 商品 销售 ,活动 完全 依靠 “信息 链 十 资金 链 " 运 作 。 具 有 活动 
隐蔽 性 强 、 交 易 行 为 虚拟 化 ,参与 主体 分 散 、 地 域 跨度 广 旦 界限 模糊 等 特点 。 


17.2 网 络 传销 的 犯罪 构成 


网 络 传销 的 犯罪 构成 的 要 件 包括 犯罪 主体 、 犯 罪 客体 、 主 观 方面 和 客观 方面 。 
17.2.1 犯罪 主体 

网 络 传销 的 犯罪 主体 是 组 织 、 领 导 实施 传销 行为 的 领导 者 ,对 于 积极 参与 传销 组 织 、 实 
施 传销 行为 者 ,目前 法 律 还 未 界定 成 为 犯罪 主体 。 
17.2.2 犯罪 客体 
网 络 传销 侵犯 的 是 社会 主义 的 政治 和 经 济 秩序 。 
17.2.3 犯罪 的 主观 要 件 


网 络 传销 在 主观 方面 表现 为 故意 ,并 且 以 营利 为 目的 ,即行 为 人 组 织 网 络 传销 ,是 为 了 
骗取 钱财 。 


17.2.4 犯罪 的 客观 要 件 


网 络 传销 的 客观 方面 表现 为 创建 网 站 , 发 展会 员 , 缴 纳 会 费 ,发 展 下 线 , 从 中 获取 非法 
收益 。 


17.3 网 络 传销 的 类 型 
网 络 传销 一 般 按照 传销 形式 类 型 分 为 实物 推销 型 .广告 点 击 型 .多 层次 信息 网 络 营销 
(Multi-Level Marketing. MLM) 模 式 、 广 告 提成 等 四 种 类 型 。 
17.3.1 实物 推销 
实物 推销 是 传统 传销 的 “网 络 版 ,借助 互联 网 推销 实物 产品 ,发 展 下 线 , 但 这 种 模式 过 
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分 明目张胆 ,已 经 被 逐渐 抛弃 。 
17.3.2 广告 点 击 


广告 点 击 是 靠 发 展 下 线 会 员 增 加 广告 点 击 率 来 给 予 佣 金 回报 ,通过 网 络 浏 览 付费 广告 
获得 积分 ,并 由 单一 的 点 击 广告 发 展 为 点 击 广告 ,收发 Email\ 在 线 注册 等 多 种 方式 并 存 , 这 
种 在 线 注册 多 为 免费 的 ,在 我 国 出 现 不 多 ,但 对 保障 网 络 个 人 信息 安全 、 免 受 垃圾 邮件 骚扰 
造成 极 大 威胁 。 


17.3.3 多 层次 信息 网 络 营 销 


多 层次 信息 网 络 营 销 是 目前 发 现 最 多 ,查处 最 多 的 网 络 传销 犯罪 类 型 。 某 地 公安 机 关 
查获 的 利用 某国 际 商 务 有 限 公 司 网 站 传销 一 案 中 , 当事人 采取 的 传销 手段 就 是 典型 的 
MLM 模式 ,传销 载体 是 该 国际 商务 有 限 公司 的 网 站 ,该 网 站 宣称 只 要 交纳 人 民 币 1300 元 
后 即 可 申请 到 一 个 用 户 名 ,可 以 使 用 网 站 提供 的 企业 策划 、 个 人 理财 、. 远 程 教育 .培训 、 买 卖 
商 、 宣 传 服务 .信息 服务 .60OMB 空间 ,管理 控制 中 心 九 大 平台 5 年 ,而 且 成 功 加 入 该 网 站 后 ， 
即 可 有 资格 推荐 、 发 展 他 人 加 入 该 网 站 ,并 可 以 按照 推荐 成 功 加 入 的 人 数 获 取 积 分 。 具 体 的 
规则 是 : 会 员 发 展 下 线 包括 左 、 右 两 个 消费 区 , 既 要 发 展 左右 两 个 分 支 , 左 右 分 支 人 数 发 展 
比例 在 1: 2 或 2: 1( 两 边 之 和 等 于 3, 称 之 为 一 组 ) 范 围 内 为 有 效 , 发 展 第 一 组 后 可 积 6 分 ， 
相应 地 获得 奖金 600 元 ; 发 展 2 一 10 组 ,每 组 可 获得 奖金 450 元 ; 发 展 11 一 100 组 ,每 组 可 
获得 奖金 350 元 ; 发 展 到 第 100 组 后 ,每 组 可 获得 奖金 300 元 ,每 周 各 会 员 最 高 奖金 额度 为 
3.5 万 元 。 以 此 类 推 , 下 线 再 按照 一 定 的 比例 发 展会 员 。 

在 此 案 中 , 拉 人 头 取代 了 传统 的 商品 销售 方式 ,但 本 质 仍 是 以 下 线 交 纳 的 入 会 费 来 支付 
上 线 的 奖金 ,是 一 种 典型 的 金字 塔 型 的 人 传人 传销 。 


17.3.4 广告 提成 


网 络 传销 组 织 利 用 “ 云 广 告 ”的 新 概念 进行 非法 传销 。 由 于 网 络 传销 具有 隐蔽 性 和 欺骗 
性 ,很 难 让 广大 网 民 区 分 ,一 般 人 只 以 为 是 “网 赚 ? 或 者 是 “广告 位 ,加 上 近 几 年 广告 在 网 上 
的 大 量 流行 ,广告 位 的 租金 越 来 越 贵 ,所 以 非法 组 织 利 用 这 一 背景 ,提出 花 钱 买 广告 位 ,然后 
拉 取 下 线 买 广告 位 从 而 获得 “提成 ”的 新 模式 。 

很 多 传销 组 织 利 用 比较 出 名 的 公司 或 者 消费 平台 ,例如 支付 宝 、 财 付 通 等 进行 宣传 和 品 
惑 ,利用 网 民 相信 合法 网 站 的 心理 发 展 下 线 。 

因为 网 络 的 传播 速度 快 ,所 以 这 类 组 织 往往 很 快 就 可 获得 大 量 利润 ,并 很 快 逃 之 天 天 ， 
服务 器 一 般 设 在 境外 ,给 侦查 机 关 的 侦办 工作 造成 很 大 困难 。 
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17.4 网 络 传销 的 特点 


与 传统 传销 相 比 ,网 络 传销 具有 以 下 几 个 特点 。 
17.4.1 虚拟 性 


网 络 是 一 个 虚拟 空间 ,非法 传销 者 利用 网 络 这 一 特征 , 打 着 高 科技 、 电 子 商务 等 赐 子 , 掩 
人 耳目 ,大 搞 空手 道 。 有些 会 员 得 到 的 仅仅 是 虚拟 的 网 络 空间 (所 谓 的 电子 商务 包 , 也 不 过 
就 是 租用 某 些 公司 的 服务 器 空间 ) ,从 传销 传统 的 实物 产品 发 展 为 纯粹 以 发 展会 员 获 得 奖金 
为 目的 ,有 些 付费 方式 都 是 网 上 支付 ,完全 “电子 商务 化 ”了 。 


17.4.2 次 编 性 


利用 网 站 作为 传销 平台 , 比 传统 意义 上 的 传销 更 具 欺 骗 性 和 隐蔽 性 。 这 些 传 销 网 站 大 
多 打 着 远程 教育 \ 培 训 个 人 创业 、 电 子 商务 的 旗号 吸引 人 , 拖 人 耳目 ,遮盖 其 发 展会 员 ( 下 线 ) 
件 利 的 本 质 。 许 多 下 线 人 员 没 有 判断 能 力 ,认为 这 就 是 电子 商务 ,在 被 抓获 后 还 屡屡 强调 他 
们 参加 的 不 是 传销 而 是 一 种 新 型 消费 。 


17.4.3 隐蔽 性 


与 传统 传销 相 比 ,网 络 传销 隐蔽 性 更 强 。 发 展会 员 都 是 在 网 络 上 进行 ,会 员 必须 通过 网 
站 才能 加 入 传销 ,使 用 的 用 户 名 都 是 假名 或 者 代号 ,并 且 都 有 各 自 的 登录 密码 ,彼此 之 间 的 
联系 主要 通过 电子 邮件 或 即时 通讯 工具 来 完成 。 网 站 还 要 求 汇款 一 律 通过 银行 转账 的 方 
式 , 这 就 避免 了 传统 传销 中 下 线 与 上 线 必 须 见 面 的 情况 ,操纵 者 由 明 转 暗 , 躲 在 幕后 ,万 一 下 
线 被 执法 部 门 查获 后 .上 线 也 能 马上 逃 之 天 和 天。 由 于 会 员 发 展 下 线 的 情况 只 反映 在 互联 网 
上 ,再 加 上 会 员 在 传销 方式 上 保持 单线 联系 ,执法 部 门 查处 时 ,根本 无 从 查证 公司 网 站 的 真 
实 信 息 和 会 员 的 真实 身份 , 仅 凭 网 络 上 的 信息 要 追查 上 线 难度 很 大 。 


17.4.4 跨 地 域 性 


互联 网 传播 具有 跨 地 域 性 ,使 得 传销 突破 了 地 域 和 国界 的 限制 ,即使 在 国内 ,也 是 遍地 
开花 ,但 是 由 于 属地 管辖 的 限制 ,各 地 执法 部 门 只 能 就 本 辖区 的 传销 活动 进行 监督 ,对 全 国 
性 的 传销 无 法 从 源头 上 切断 。 传 销 骨 干 人 员 经 常 是 “ 打 一 枪 换 一 个 地 方 ”, 全 国 各 地 流 帘 作 
案 , 大 多 数 情况 侦查 机 关 只 能 抓获 当地 的 头目 ,但 对 销毁 整个 传销 集团 却 无 能 为 力 ,治标 不 
治本 。 同 时 ,侦查 取证 上 也 是 困难 重重 ,对 于 跨国 的 网 络 传销 ,由 于 网 站 注册 地 在 国外 ,国内 
没有 工商 登记 机 构 , 因 此 面临 着 法 律 适用 和 国际 管辖 权 的 问题 。 而 且 仅 仅 依靠 一 国 的 力量 
难以 有 效 打击 ,需要 国际 社会 的 通力 合作 ,但 如 今世 界 各 国 对 传销 襄 贬 不 一 ,要 达到 法 律 标 
准 的 一 致 极其 困难 。 
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17.4.5 查处 被 动 性 


网 上 资源 浩 繁 如 海 ,执法 部 门 要 在 海量 网 站 中 发 现 非法 传销 的 蛛丝马迹 无 异 于 大 海 捞 
针 。 更 何况 ,传销 网 站 多 以 注册 用 户 输入 密码 的 方式 才能 登录 ,一 般 用 户 无 法 浏览 其 内 容 ， 
受 技术 所 限 ,公安 机 关 经 济 侦查 部 门 和 工商 部 门 在 现实 社会 中 发 现 传销 痕迹 或 举报 的 情况 
下 才能 开展 侦查 ,获得 案 源 信息 渠道 少 , 导 致 查处 网 络 传销 极为 被 动 。 


17.5 网 络 传销 案件 的 法 律 约束 


传销 行为 一 直 以 来 都 是 我 国法 律 法 规 严格 禁止 的 ,全 国人 大 、 国 务 院 . 最 高 人 民法 院 、 最 
高 人 民 检 察 院 .公安 部 .财政 部 .工商 总 局 等 国家 机 关 都 相继 出 台 过 一 系列 的 法 律 法 规 、 办 
法 .通知 文件 。 

@《 中 华人 民 共 和 国 刑法 》; 

名 《关于 全 面 禁 止 传销 经 营 活动 的 通知 》; 

@《 关 于 外 商 投 资 传销 企业 转变 成 销售 方式 的 有 关 问 题 的 通知 》; 

@ 《关于 (关于 外 商 投资 传销 企业 转变 销售 方式 有 关 问 题 的 通知 ) 执 行 中 有 关 问 题 的 
规定 》; 

@ 《禁止 传销 条 例 》; 

@《2015 年 中 国 传销 管理 办 法 》; 

@《 关 于 办 理 组 织 领导 传销 活动 刑事 案件 适用 法 律 若干 问题 的 意见 》; 

@@ (国家 工商 行政 管理 总 局 等 部 门 关于 开展 打击 网 络 传 销 违法 犯罪 专项 行动 的 通知 》; 

@ 《国务 院 关 于 禁止 传销 经 营 活动 的 通知 》。 


17.5.1 《中 华人 民 共 和 国 刑 法 》( 节 选 ) 


《刑法 ) 第 二 百 二 十 四 条 ”有 下 列 情形 之 一 ,以 非法 占有 为 目的 ,在 签订 ,履行 合同 过 程 
中 ,骗取 对 方 当事人 财物 ,数额 较 大 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 
数额 巨大 或 者 有 其 他 严重 情节 的 ,处 三 年 以 上 十 年 以 下 有 期 徒刑 ,并 处 罚金 ; 数额 特别 巨大 
或 者 有 其 他 特别 严重 情节 的 ,处 十 年 以 上 有 期 徒刑 或 者 无 期 徒刑 ,并 处 罚金 或 者 没收 财产 。 

第 二 百 二 十 四 条 之 一 D0" 组 织 、 领 导 传销 活动 罪 ”:“ 组 织 、 领 导 以 传销 商品 提供 服务 等 
经 营 活动 为 名 ,要 求 参加 者 以 缴纳 费用 或 者 购买 商品 、 服 务 等 方式 获得 加 入 资格 ,并 按照 一 
定 顺序 组 成 层级 ,直接 或 者 间接 以 发 展 人 员 的 数量 作为 计酬 或 者 返利 依据 ,引诱 ,胁迫 参加 
者 继续 发 展 他 人 参加 ,骗取 财物 ,扰乱 经 济 社会 秩序 的 传销 活动 的 ,处 五 年 以 下 有 期 徒刑 或 
者 拘役 ,并 处 罚金 ; 情节 严重 的 .处 五 年 以 上 有 期 徒刑 .并 处 罚金 。” 


四 《中 华人 民 共 和 国 刑法 修正 案 (七 )》。 
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第 二 百 二 十 五 条 * 非 法 经 营 罪 ”第 四 项 * 其 他 严重 扰乱 市 场 秩序 的 非法 经 营 行为 "”。 
17.5.2 《关于 爹 面 禁 止 传销 经 营 活动 的 通知 )( 节 选 ) 


传销 经 营 不 符合 我 国 现 阶段 国情 ,已 造成 严重 危害 。 传 销 作为 一 种 经 营 方式 ,由 于 其 具 
有 组 织 上 的 封闭 性 ,交易 上 的 隐蔽 性 ,传销 人 员 的 分 散 性 等 特点 ,加 之 目前 我 国 市 场 发 育 程 
度 低 ,管理 手段 比较 落后 ,群众 消费 心理 尚 不 成 熟 , 不 法 分 子 利用 传销 进行 那 教 、 帮 会 和 迷 
信 、 流 谍 等 活动 ,严重 背离 精神 文明 建设 的 要 求 ,影响 我 国 社会 稳定 ; 利用 传销 吸收 党 政 机 
关 干 部 ,现役 军人 、 全 日 制 在 校 学 生 等 参与 经 商 ,严重 破坏 正常 的 工作 和 教学 秩序 ; 利用 传 
销 进行 价格 欺诈 ,骗取 钱财 ,推销 假冒 伪劣 产品 .走私 产品 ,牟取 暴利 , 偷 逃税 收 ,严重 损害 消 
费 者 的 利益 ,干扰 正常 的 经 济 秩序 。 因 此 ,对 传销 经 营 活动 必须 坚决 予以 禁止 。 

以 双赢 制 . 电 脑 排 网 ,框架 营销 等 形式 进行 传销 的 ; 假借 专卖 .代理 ,特许 加 盟 经 营 、 直 
销 、 连 锁 、 网 络 销售 等 名 义 进行 变相 传销 的 ; 采取 会 员 卡 、 储 蓄 卡 .彩票 .职业 培训 等 手段 进 
行 传销 和 变相 传销 ,骗取 入 会 费 ,加 盟 费 .许可 费 、 培 训 费 的 ; 对 传销 和 变相 传销 行为 ,由 工 
商行 政 管理 机 关 依 据 国家 有 关 规 定 予 以 认定 并 进行 处 罚 。 
17.5.3 《关于 外 商 投资 传销 企业 转变 成 销售 方式 的 有 关 问 题 的 通 

知 》( 节 选 ) 


企业 须 制 定 符合 国家 各 项 法 规 要 求 的 售后 服务 及 顾客 退货 制度 并 了 予 公布 ; 

企业 应 同 推销 人 员 签 订 劳务 合同 ,推销 人 员 在 劳务 合同 授权 范围 内 推销 企业 产品 所 产 
生 的 法 律 责任 ,由 企业 承担 ; 

推销 人 员 的 资格 应 符合 国家 有 关 法 律 .法规 的 规定 ,推销 人 员 应 具备 原 劳 动 部 .内 贸 部 
颁发 的 (推销 员 职 业 技术 技能 标准 》( 劳 部 发 [L1997]10 号 文件 ) 的 基本 要 求 。 


17.5.4 《关于 (关于 外 商 投 资 传销 企业 转变 销售 方式 有 关 问 题 的 通 
知 ? 执 行 中 有 关 问 题 的 规定 )( 节 选 ) 

一 、 转 型 企业 必须 严格 遵守 《国务 院 关 于 禁止 传销 经 营 活动 的 通知 )( 国 发 [1998]10 
号 )《 国 务 院 办 公 厅 转发 工商 局 等 部 门 关于 严厉 打击 传销 和 变相 传销 等 非法 经 营 活动 意见 
的 通知 兴国 办 发 L2000]55 号 ) 以 及 (关于 外 商 投资 传销 企业 转变 销售 方式 有 关 问 题 的 通知 》 
(L1998] 外 经 贸 资 发 第 455 号 ) 的 规定 ,不 得 以 任何 形式 从 事 传销 或 变相 传销 活动 。 

二 、 转 型 企业 不 得 将 雇佣 的 推销 人 员 以 部 门 . 团 队 、 小 组 等 名 目 组 成 网 络 ,从 事 营销 

三 、 转 型 企业 对 雇佣 的 推销 人 员 只 能 按 其 个 人 直接 推销 给 最 终 消费 者 的 产品 金额 计 提 
报酬 ,不 得 对 推销 人 员 以 介绍 加 入 等 名 目 为 由 计 提 任何 报酬 。 转 型 企业 的 销售 管理 人 员 必 
须 是 企业 正式 员工 。 
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17.5.5 《人 禁止 传销 条 例 )( 节 选 ) 


组 织 策划 传销 的 ,由 工商 行政 管理 部 门 没收 非法 财物 ,没收 违法 所 得 ,处 50 万 元 以 上 
200 万 元 以 下 的 罚款 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

介绍 .诱骗 ,胁迫 他 人 参加 传销 的 ,由 工商 行政 管理 部 门 责令 停止 违法 行为 ,没收 非法 财 
物 ,没收 违法 所 得 ,处 10 万 元 以 上 50 万 元 以 下 的 罚款 ; 构成 犯罪 的 ,依法 追究 刑事 责任 。 

参加 传销 的 ,由 工商 行政 管理 部 门 责令 停止 违法 行为 ,可 以 处 2000 元 以 下 的 罚款 。 

为 传销 行为 提供 经 营 场所 、 培 训 场所 货源、 保管 .仓储 等 条 件 的 ,由 工商 行政 管理 部 门 
责令 停止 违法 行为 ,没收 违法 所 得 ,处 5 万 元 以 上 50 万 元 以 下 的 罚款 。 


17.5.6 《2015 年 中 国 传 销 管理 办 法 》( 节 选 ) 


第 三 十 条 ”对 违反 本 办 法 的 企业 或 者 个 人 ,工商 行政 管理 机 关 按 下 列 规定 予以 处 罚 : 

(一 ) 违反 “企业 从 事 传销 活动 必须 经 工商 行政 管理 机 关 核 准 登记 ”的 ,由 工商 行政 管理 
机 关 予 以 取缔 ,没收 传销 产品 、 销 货款 和 非法 所 得 ,并 按 ( 中 华人 民 共 和 国 消费 者 权益 保护 
法 ) 的 规定 处 以 罚款 。 

(二 ) 违反 “禁止 单 层次 传销 企业 从 事 多 层次 传销 活动 ”的 ,没收 擅自 多 层次 传销 的 产 
品 、 销 货款 和 非法 所 得 ,并 按 ( 中 华人 民 共 和 国 消费 者 权益 保护 法 ) 的 规定 处 以 罚款 ; 情节 严 
重 的 ,取消 其 单 层次 传销 资格 。 

(三 ) 违反 “申请 传销 的 企业 应 当 向 核准 登记 机 关 提 交 文件 和 材料 “经 批准 的 传销 企业 
增加 或 者 减少 传销 的 分 支 机 构 、 变 更 传销 产品 品种 范围 或 者 终止 传销 的 ,应 当 办 理 有 关 变 更 
登记 手续 ,提交 虚假 文件 或 者 采取 其 他 欺诈 手段 取得 传销 企业 登记 的 ”, 根 据 情节 轻重 给 予 
相应 的 行政 处 分 ,对 构成 犯罪 的 人 员 , 交 由 司法 机 关 处 理 。 

(四 ) 违反 “传销 企业 不 得 转 租 ,转让 传销 经 营 权 ” ,根据 情节 轻重 给 予 相应 的 行政 处 分 ， 
对 构成 犯罪 的 人 员 , 交 由 司法 机 关 处 理 。 

(五 ) 违反 本 “传销 企业 必须 按照 国家 工商 行政 管理 局 核准 的 传销 产品 品种 ,传销 本 企 
业 在 中 国境 内 生产 的 产品 的 ”, 对 传销 企业 予以 处 罚 ; 对 传销 员 处 以 五 百 元 以 上 两 千 元 以 下 
4 罚款 ,并 责令 传销 企业 终止 该 传销 员 资 格 。 

(六 ) 违反 “消费 者 因 传销 产品 的 质量 问题 使 其 合法 权益 受到 损害 的 ,可 以 向 传销 企业 
或 者 传销 员 提 出 退货 或 者 赔偿 请 求 , 传 销 企 业 、 传 销 员 必须 予以 退货 或 者 赔偿 的 ”对 传销 企 
业 依照 (中 华人 民 共 和 国 消费 者 权益 保护 法 》 的 规定 处 罚 ; 对 传销 员 处 以 五 百 元 以 上 两 千 元 
以 下 的 罚款 ,并 责令 传销 企业 终止 该 传销 员 资格 。 

(七 ) 违反 ”传销 产品 的 价格 水 平 不 得 明显 高 于 同一 地 区 、 同 一 时 期 、 同 一 档次 ` 同 种 7 
品 或 者 类 似 产品 的 市 场 平均 价格 ,禁止 价格 欺诈 行为 ”的 ,核准 登记 的 工商 行政 管理 机 关 应 
当 责 令 传销 企业 限期 改正 。 该 企业 拒 不 执行 的 ,没收 传销 产品 、 销 货款 和 非法 所 得 ,并 依据 
《中 华人 民 共 和 国 消费 者 权益 保护 法 ) 的 规定 处 以 罚款 。 
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( 八 ) 违反 “传销 企业 不 得 对 传销 员 的 工作 性 质 \ 收 入 及 传销 产品 的 质量 、 用 途 、 产 地 ,使 
用 效果 等 作 虚 假 或 者 引 人 误 解 的 宣传 , 诱 人 参加 传销 及 购买 产品 ”的 ,依照 (中 华人 民 共 和 国 
广告 法 》《 中 华人 民 共 和 国 反 不 正当 竞争 法 》 的 规定 予以 处 罚 。 
( 九 ) 违反 “传销 员 在 向 消费 者 推销 产品 时 应 当 遵守 规则 ”的 ,对 传销 员 处 以 五 百 元 以 上 
两 千 元 以 下 的 罚款 ,并 责令 传销 企业 终止 该 传销 员 资 格 。 
17.5.7 《关于 办 理 组 织 领导 传销 活动 刑事 案件 适用 法 律 阁 干 问题 
的 意见 》( 节 选 ) 

四 、 关 于 “情节 严重 ”的 认定 问题 

传销 组 织 的 组 织 者 、 领 导 者 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 二 十 四 条 之 
一 规定 的 “情节 严重 ”: 

(一 ) 组 织 、 领 导 的 参与 传销 活动 人 员 累 计 达 一 百 二 十 人 以 上 的 ; 

(二 ) 直接 或 者 间接 收取 参与 传销 活动 人 员 缴 纳 的 传销 资金 数额 累计 达 二 百 五 十 万 元 
以 上 的 ; 

(三 ) 曾 因 组 织 、 领 导 传销 活动 受过 刑事 处 罚 , 或 者 一 年 以 内 因 组 织 、 领 导 传销 活动 受过 
行政 处 罚 , 又 直接 或 者 间接 发 展 参与 传销 活动 人 员 累 计 达 六 十 人 以 上 的 ; 

(四 ) 造成 参与 传销 活动 人 员 精 神 失常 .自杀 等 严重 后 果 的 ; 

(五 ) 造成 其 他 严重 后 果 或 者 恶劣 社会 影响 的 。 

五 、 关 于 “团队 计酬 "行为 的 处 理 问题 

传销 活动 的 组 织 者 或 者 领导 者 通过 发 展 人 员 .要求 传销 活动 的 被 发 展 人 员 发 展 其 他 人 
员 加 入 ,形成 上 下 线 关系 ,并 以 下 线 的 销售 业绩 为 依据 计算 和 给 付 上 线 报酬 ,牟取 非法 利益 
的 ,是 “团队 计酬 * 式 传销 活动 。 

以 销售 商品 为 目的 以 销售 业绩 为 计酬 依据 的 单纯 的 “团队 计酬 ? 式 传销 活动 ,不 作为 犯 
罪 处 理 。 形 式 上 采取 “团队 计酬 "方式 .但 实质 上 属于 “以 发 展 人 员 的 数量 作为 计酬 或 者 返利 
依据 ”的 传销 活动 ,应 当 依照 刑法 第 二 百 二 十 四 条 之 一 的 规定 ,以 组 织 、 领 导 传销 活动 罪 定罪 
处 罚 。 


17.5.8 《国务 院 关 于 人 茜 止 传销 经 营 活动 的 通知 )( 节 选 ) 


第 三 条 规定 : 严厉 查禁 各 种 传销 和 变相 传销 行为 。 自 本 通知 发 布 之 日 起 ,一 经 发 现 有 
下 列 行为 之 一 的 ,各 级 人 民政 府 和 工商 行政 管理 .公安 等 有 关 部 门 ,要 采取 有 力 措施 ,坚决 取 
缔 , 严 肃 处 理 : 

(一 ) 将 传销 由 公开 转 入 地 下 的 ; 

(二 ) 以 双赢 制 .电脑 排 网 ,框架 营销 等 形式 进行 传销 的 ; 

(三 ) 假借 专卖 ,代理 、 特 许 加盟 经 营 、 直 销 、 连 锁 、 网 络 销 售 等 名 义 进行 变相 传销 的 ; 

(四 ) 采取 会 员 卡 \ 储 蓄 卡 、 彩 票 、 职 业 培 训 等 手段 进行 传销 和 变相 传销 ,骗取 入 会 费 、 加 
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盟 费 、 许 可 费 、 培 训 费 的 ; 

(五 ) 其 他 传销 和 变相 传销 的 行为 。 

对 传销 和 变相 传销 行为 ,由 工商 行政 管理 机 关 依据 国家 有 关 规定 予以 认定 并 进行 处 罚 。 
对 利用 传销 进行 诈骗 ,推销 假冒 伪劣 产品 走私 产品 以 及 进行 邪教 .帮会 .迷信 人、 流氓 等 活动 
的 ,由 有 关 部 门 予 以 查处 ; 构成 犯罪 的 ,移送 司法 机 关 依 法 追究 刑事 责任 。 


17.6 ”网络 传销 案件 的 侦查 要 点 


17.6.1 案件 管辖 


一 般 来 说 ,网 络 传销 公司 所 在 地 ,网 站 注册 地 、 服 务 器 所 在 地 ,传销 组 织 者 、 领 导 者 违法 
犯罪 地 和 居住 地 ,涉案 资金 主要 流出 地 及 流入 地 ,传销 违法 犯罪 活动 人 员 集 中 地 的 工商 、 公 
安 机 关 均 可 以 履行 打击 及 协助 责任 。 

目前 我 国 尚未 出 台 专 门 针对 网 络 传销 的 法 律 法 规 。 网 络 传销 案件 办 理 可 以 参考 的 法 律 
法 规 主要 包括 《刑法 修正 案 ( 七 ) 兴 关于 禁止 传销 经 营 活动 的 通知 兴 禁 止 传销 条 例 》, 以 及 国 
家 工商 总 局 ,公安 部 .工业 和 信息 化 部 .国家 互联 网 信息 办 公 室 .中 国人 民 银 行 . 中 国 银监会 
等 部 门 发 布 的 规范 及 相关 解释 。 

在 网 络 传销 案件 中 ,由 于 传销 活动 人 员 涉 及 广泛 ,时 空 跨越 大 ,使 得 侦查 机 关 对 该 类 犯 
罪 管 辖 权 认 定 较为 困难 。 要 准确 认定 网 络 传销 案件 犯罪 活动 管辖 权 , 需 要 认真 学 习 打击 网 
络 传销 活动 的 法 律 法 规 , 掌 握 传销 的 表现 形式 ,正确 辨别 网 络 传销 活动 ,最 终 判 定 管辖 权 
归属 。 


17.6.2 立案 审查 


网 络 传销 案件 的 立案 ,要 依照 打击 传销 活动 的 相关 法 律 法 规 , 并 且 结 合 网 络 刑事 案件 的 
立案 要 求 。 传 销 行 为 主要 表现 形式 和 性 质 判定 原则 。 
1. 传销 行为 的 三 种 表现 形式 
《禁止 传销 条 例 ) 第 七 条 列举 了 传销 行为 的 三 种 表现 形式 : 
。 组 织 者 或 者 经 营 者 通过 发 展 人 员 ,要 求 被 发 展 人 员 发 展 其 他 人 员 加 入 ,对 发 展 的 人 
员 以 其 直接 或 者 间接 滚动 发 展 的 人 员 数 量 为 依据 计算 和 给 付 报 酬 (包括 物质 奖励 和 
其 他 经 济 利益 ,下 同 ), 件 取 非 法 利益 的 ; 
。 组织 者 或 者 经 营 者 通过 发 展 人 员 ,要 求 被 发 展 人 员 交 纳 费用 或 者 以 认购 商品 等 方式 
变相 交纳 费用 ,取得 加 入 或 者 发 展 其 他 人 员 加 入 的 资格 ,牟取 非法 利益 的 ; 
。 组 织 者 或 者 经 营 者 通过 发 展 人 员 ,要 求 被 发 展 人 员 发 展 其 他 人 员 加 入 ,形成 上 下 线 
关系 ,并 以 下 线 的 销售 业绩 为 依据 计算 和 给 付 上 线 报酬 ,牟取 非法 利益 的 。 
2. 组 织 、 领 导 传销 活动 罪 特征 
组 织 、 领 导 传销 活动 罪 在 客观 方面 有 三 个 特征 : 
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。“ 经 营 "形式 上 具有 欺骗 性 。 

传销 组 织 所 宣传 的 “经 营 ”活动 是 蛋子, 没有 什么 实际 经 营 活动 ,其 许诺 或 支付 成 员 的 回 
报 往往 来 自 成 员 缴 纳 的 入 门 费 。 因 此 ,要 求 参 加 者 缴纳 费用 或 者 购买 商品 、 服 务 获得 加 入 资 
格 是 其 惯用 的 引诱 方式 ,而 骗取 财物 是 本 质 目的 。 

。 计酬 方式 上 ,直接 或 间接 以 发 展 人 员 数 量 作为 计酬 或 返利 依据 。 

传销 通过 发 展 参加 者 ,再 要 求 被 发 展 者 不 断 发 展 新 人 加 入 而 形成 上 下 线 关 系 ,并 以 下 线 
发 展 人 数 多 少 为 依据 计算 和 给 付 上 线 报酬 ,这 是 它 计 酬 的 特点 。 

。 组 织 结构 上 具有 层级 性 。 

传销 组 织 通 常 将 成 员 分 成 不 同等 级 ,只 有 发 展 一 定数 量 下 线 后 才能 升级 ,由 此 呈现 底 大 
尖 小 的 “金字塔 形 ”结构 。 因 此 ,实行 层级 管理 是 其 组 织 结构 特点 。 

通过 上 述 判 断 规则 ,符合 组 织 、 领 导 传销 活动 罪 特 征 的 ,就 可 以 由 相应 执法 部 门 ,例如 公 
安 机 关 经 济 犯 罪 侦 查 部 门 、 工 商 部 门 予以 立案 侦查 。 


17.6.3 侦查 措施 与 流程 


网 络 传销 案件 具有 网 络 关 系 复 杂 涉案 金额 巨大 .运作 模式 新 型 等 特点 , 侦查 过 程 要 查 
明 犯 罪 模 式 、 查 清 网 络 虚 拟 身份 和 真实 身份 .梳理 传销 团队 组 织 关 系 、 跟 踪 网 络 资金 流向 , 同 
时 侦查 过 程 要 紧密 围绕 构建 定案 证 据 体 系 展开 ,及 时 搜集 固定 证 据 , 并 要 注意 证 据 的 合 

1. 网 络 线索 发 现 

传统 传销 案件 线索 发 现 方 法 很 多 ,包括 治安 排查 ,群众 举报 、 相 关 案 件 扩 线 、 其 他 部 门 转 
发 等 。 自 主 挖掘 网 络 传 销 案件 线索 时 ,可 以 结合 传销 活动 特点 ,利用 网 络 虚拟 性 和 相关 特征 
进行 侦查 ,具体 可 以 采用 如 下 方式 。 

1) 利用 互联 网 数据 搜索 

网 络 传销 同 传统 传销 一 样 ,需要 尽 可 能 多 地 吸引 会 员 加 入 ,通过 建立 分 级 体系 扩大 自身 
规模 ,扩大 网 络 会 员 数 量 的 需求 决定 了 其 要 采用 各 种 方式 通过 互联 网 进行 宣传 ,目前 较 常 见 
的 网 络 宣传 方法 包括 : 

一 是 搜索 引擎 优化 。 网 络 传销 团队 自 建 网 站 ,利用 搜索 引擎 优化 技术 ,将 带 有 传销 性 质 
的 广告 进行 快速 传播 ,普通 网 民 在 搜索 引擎 搜索 类 似 “ 一 夜 暴 富 “赚钱 项 目 ”“ 小 本 赚钱 ”一 
类 的 关键 词 , 很 容易 会 被 误导 至 网 络 传销 活动 ,利用 网 络 传销 活动 该 宣传 特点 ,可 以 较 快 发 
现 可 疑 线 索 ; 

二 是 网 站 论坛 散播 。 除 互联 网 搜索 引擎 优化 外 ,网 络 传销 团伙 指使 自身 成 员 或 雇佣 网 
络 水 军 在 网 络 博客 、 微 博 、 论 坛 等 虚拟 空间 进行 发 帖 宣传 , 打 着 “快速 致富 "等 名 义 推销 自身 
传销 理念 ,吸引 网 民 加 入 。 侦 查 人 员 在 挖掘 本 地 网 络 传销 线索 时 ,可 以 结合 本 地 网 站 论坛 管 
理 员 ,要 求 其 在 管理 本 地 网 站 论坛 时 .一 旦 发 现 此 类 宣传 要 及 时 通报 公安 机 关 。 三 是 结合 侦 
查 扩 线 。 如 果 将 网 络 侦查 思路 应 用 在 线索 发 现 方面 ,对 已 经 发 现 的 传销 线索 积极 开展 网 络 
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扩 线 ,往往 会 达到 事半功倍 的 效果 。 如 梳理 网 络 传销 宣传 帖 文 的 虚拟 身份 ,排查 其 是 否 发 布 
其 他 网 络 传销 广告 ; 梳理 网 络 传 销 宣传 词 ,对 里 面 涉及 的 专门 词汇 再 次 进行 排查 搜索 ; 梳 
理 传销 网 站 客服 电话 .QQ 号 码 等 公开 信息 ,排查 其 宣传 渠道 并 挖掘 更 多 网 络 传销 线索 。 

以 上 方法 结合 案件 管辖 规定 和 本 地 现 有 信息 ,也 可 以 用 于 摸排 本 地 网 络 传销 线索 ,但 后 
续 工 作 需 要 对 线索 性 质 进行 确认 ,避免 将 正规 营销 活动 误 判 为 非法 网 络 传销 案件 。 

2) 传销 网 站 网 络 日 志 特 征 分 析 

近年 来 ,不 少 传销 团伙 改变 运作 方式 ,有 的 网 下 宣传 网 上 运作 ,有 的 则 将 管理 平台 和 网 
站 分 开 部 署 ,这 些 情 况 不 利于 公安 机 关 通 过 互联 网 搜索 引擎 发 现 传销 网 站 的 相关 信息 。 然 
而 传销 团伙 为 达到 利益 最 大 化 和 较 快 笼络 会 员 的 目的 ,其 架设 的 网 络 传销 管理 系统 往往 使 
用 复杂 的 运营 方式 和 利益 分 配 算法 ,如 “五 级 三 阶 制 “3800 奖金 分 配 算法 ”等 ,这 些 管 理 策 
略 和 计算 方法 过 于 专业 复杂 , 除 个 别 组 织 单独 开发 外 ,更 为 常见 的 是 采用 公共 模块 或 购买 市 
场 流通 的 稳定 传销 网 站 系统 ,这 些 系统 在 使 用 过 程 中 会 产生 相同 或 相似 的 网 络 特征 ,公安 机 
关 通 过 对 网 站 或 服务 器 产生 的 日 志 数 据 进行 梳理 ,可 以 快速 发 现 网 络 日 志 中 存在 的 传销 活 
动 宣传 ,管理 ,运作 等 线索 。 

传销 网 站 网 络 日 志 特征 分 析 的 一 般 步 又: 通过 对 已 掌握 的 传销 网 站 ,管理 平台 或 网 上 
售卖 的 传销 网 站 系统 进行 分 析 ,梳理 系统 网 络 日 志 特 征 ,如 资金 交易 特征 .团队 管理 特征 \ 银 
行 转账 特征 等 ,将 这 些 特征 进行 分 类 ,并 在 已 获取 的 网 络 日 志 中 进行 排查 ,可 以 发 现 网 络 传 
销 网 站 的 相关 线索 。 

2. 网 站 服务 器 突破 与 分 析 

突破 网 络 传销 活动 网 站 与 服务 器 权限 ,是 打击 该 类 犯罪 活动 的 关键 ,采用 重点 账户 审 
查 、 网 站 服务 器 查办 、 网 站 运 维 侦查 等 方式 开展 侦查 。 

1) 网 络 传销 重点 账户 侦查 取证 

在 网 络 传销 案件 侦办 过 程 中 ,侦查 人 员 使 用 已 抓获 的 嫌疑 人 在 传销 网 站 上 的 账号 ,登录 
传销 网 站 实施 侦查 取证 ,梳理 传销 网 站 基本 运作 形式 、 利 益 分 配方 式 、 上 下 线 管理 方式 等 情 
况 , 并 可 以 扩 线 梳理 出 涉及 本 地 的 人 员 级 别 关 系 和 资金 流转 情况 。 
2) 网 站 服务 器 侦查 取证 
网 络 传销 活动 涉及 的 宣传 网 站 、 管 理 平台 、 交 流 平台 在 网 络 上 的 部 署 方式 有 多 种 ,有 可 
能 采用 一 台 或 多 台 服 务 器 .或 者 部 署 在 境外 云 平台 上 .一般 采 取 以 下 两 种 措施 实施 侦查 
取证 : 

一 是 直接 查 扣 服 务 器 。 对 架设 在 境内 的 传销 网 站 服务 器 ,可 以 适时 依法 查 扣 , 并 通过 电 
子 数据 勘 验 、 检 验 提 取 、 分 析 传 销 网 站 后 台数 据 库 ,固定 证 据 , 梳 理 线索 。 

二 是 通过 远程 勘 验 对 传销 平台 进行 侦查 .取证 和 分 析 。 

3) 传销 网 站 开发 . 运 维 人 员 侦 查 

对 于 部 署 在 境外 的 网 站 和 服务 器 ,侦办 过 程 中 可 以 从 传销 网 站 开发 和 运 维 公司 及 人 员 
人 手 ,通过 侦查 摸 清 传销 网 站 运行 维护 情况 , 查 明 相 关联 络 人 员 身份 和 资金 流向 ,发 现 其 开 
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发 .维护 的 其 他 传销 网 站 ,可 以 达到 事半功倍 的 效果 。 

4) 网 络 传销 取证 数据 检验 分 析 

在 网 络 传销 案件 侦查 中 ,传销 网 站 和 服务 器 数据 是 梳理 传销 团伙 人 员 组 织 结构 、 掌 握 资 
金 流 向 分 析 的 重要 线索 来 源 , 主 要 分 析 包 括 : 

一 是 人 员 关 系 层级 分 析 , 通 过 网 站 上 的 人 员 关 系 展示 或 分 析 后 台数 据 库 , 查 明 人 员 层 级 
关系 、 上 下 线 关系 ,此 外 包括 所 谓 的 “运营 中 心服 务 中 心 ”等 组 织 架 构 , 此 类 数据 分 析 经 常 
采用 I2 等 专业 分 析 软 件 ; 

二 是 资金 流向 分 析 , 通 过 网 站 和 数据 库 上 留存 的 资金 流转 记录 ,梳理 电子 账 务 流转 过 程 

三 是 梳理 重点 人 员 信 息 , 传 销 网 站 线 下 数据 关联 性 很 强 , 往 往 含 有 会 员 真实 姓名 、 电 话 、 
地 址 、 身 份 证 号 码 、 银 行 卡 等 信息 ,这 些 数据 为 后 期 嫌疑 人 排查 抓 捕 工作 提供 了 非常 可 靠 数 
据 , 侦 查 过 程 中 需要 对 这 些 数据 进行 细致 梳理 。 


17.6.4 抓 桶 、 排 查 媒 疑 人 


网 络 传销 案件 具有 涉及 人 员 众 多 、 地 域 分布 广泛 .人 员 身 份 复杂 等 特点 ,因此 犯罪 嫌疑 
人 的 抓 捕 与 排查 是 案件 能 否 成 功 侦破 的 重要 一 环 。 

1. 组 建 多 部 门 多 和 警 种 专门 工作 机 构 

办 理 涉 及 人 员 众多 的 网 络 传销 案件 ,组 建 由 公安 、 检 法 .工商 宣传、 信访 等 部 门 共 同 参 
加 的 综合 处 置 工作 机 构 , 以 应 对 办 案 过 程 中 可 能 出 现 的 司法 问题 .宣传 问题 和 后 期 的 维稳 压 
力 。 对 于 小 型 网 络 传销 案件 办 理 , 公 安 机 关内 部 也 应 组 建 由 网 安 、 经 侦 \ 技 侦 、 法 制 等 部 门 组 
成 的 联合 办 案 组 ,以 应 对 网 络 侦查 问题 ,法律 认定 问题 和 后 期 人 员 抓 捕 。 网 络 传销 案件 办 理 
机 构 , 可 以 根据 业务 性 质 进行 分 组 ,如 设立 网 络 资金 查 控 取 证 组 后 台电 子 数据 勘查 勘 验 组 、 
嫌疑 人 抓 捕 行动 组 等 。 

组 建 网 络 传 销 案件 专门 工作 机 构 , 各 部 门 各 警 种 要 各 负 其 责 、 各 司 其 职 ,建立 信息 交流 、 
案件 侦办 、 诉 讼 审判 和 善后 处 理 等 工作 机 制 。 对 于 案情 复杂 的 案件 ,可 以 邀请 检 法 部 门 提 
前 介入 ,共同 研究 .分 析 案情 ,达成 共识 。 此 外 ,在 协调 会 商机 制 的 整体 框架 下 ,公安 机 关 应 
密切 与 行政 执法 部 门 和 经 济 管理 部 门 沟通 联系 ,逐步 完善 信息 交流 、 情 报 会 商行 政 执法 和 
刑事 执法 衔接 的 联动 机 制 , 形 成 合力 ,有 效 打击 处 置 此 类 涉 众 型 经 济 犯罪 活动 。 

2. 加 强 排查 抓 捕 保 障 

网 络 传销 犯罪 案件 的 办 理 , 面 临 嫌疑 人 区 域 分 布 广泛 .隐蔽 性 强 资金 流向 复杂 、 取 证 周 
期 长 .后 期 维稳 压力 大 等 困难 ,办 案 过 程 中 需要 加 强人 员 能 力 、 办 案 经 费 和 和 与 论 宣传 等 保障 。 

1) 加 强 办 案 人 员 能 力 保障 

网 络 传销 案件 形式 多 样 ,法 律 尚 待 完善 ,又 涉及 众多 网 络 技术 问题 和 人 员 查 证 问题 ,在 
多 警 种 配合 的 基础 上 .也 需要 综合 性 人 才 . 组 建 专门 办 案 队 伍 的 同时 ,要 注重 吸纳 该 类 专家 
型 人 才 并 建立 人 才 培 养 计划 。 
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2) 加 强 跨 省 市 办 案 抓 捕 保障 

传销 活动 本 身 隐秘 ,组 织 成 员 区 域 分 布 广泛 , 抓 捕 过 程 中 容易 受到 人 员 及 经 费 问题 制 
约 , 影 响 打击 力度 及 效果 , 抓 捕 前 需要 投入 足够 警力 和 办 案 经 费 , 提 前 协调 解决 跨 省 市 证 据 
调 取 、 开 展 缉捕 行动 等 问题 。 

3) 加 强 和 导论 宣传 ,做 好 维稳 防范 

传销 活动 往往 伴随 思想 控制 ,加 上 涉及 众多 参与 成 员 自 身 利 益 ,各 相关 部 门 应 当 广 泛 利 
用 报纸 .电视 ,广播 互联 网 等 媒体 ,多 方位 、 多 角度 地 宣传 传销 犯罪 的 形式 和 特点 ,增强 群众 
的 风险 意识 和 辨别 能 力 , 同 时 做 好 后 期 维稳 防范 工作 ,预防 发 生 网 络 传销 参与 人 员 聚 集 扰乱 
社会 秩序 。 

3. 明确 抓 捕 原则 和 策略 

网 络 传 销 案件 人 员 抓 捕 应 围绕 人 员 落 地 查缉 、 资 金 查 扣 、 服 务 器 查 控 设 定 工作 方案 ,在 
基础 工作 扎实 开展 后 ,果断 决策 .迅速 出 击 。 

1) 排除 外 界 干扰 

传销 组 织 往往 打 着 加盟 连锁 “网 络 销 售 “ 电 子 商务 “特许 经 营 ” 等 弃 号 ,有 的 还 宣称 
经 过 某 某 部 门 认可 ,公司 领导 人 获得 国家 颁发 的 荣誉 称号 ,公司 是 国家 有 关 部 门 授予 的 “ 直 
销 实验 基地 ?等 等 ,近年 不 乏 传销 活动 被 重点 媒体 报道 等 先例 ,在 开展 抓 捕 行动 时 一 定 要 排 
除 可 能 存在 的 外 界 干扰 ,减少 抓 捕 行动 失败 的 可 能 。 

2) 全 面 排查 重点 信息 

充分 利用 经 侦 、 治 安 等 部 门 资 源 ,对 犯罪 嫌疑 人 开展 银行 信息 梳理 、 出 行 轨迹 研判 .旅馆 
住宿 比 对 等 重点 信息 排查 ,为 抓 捕 犯罪 嫌疑 人 提供 保障 。 

3) 合理 制订 抓 捕 策 略 

抓 捕 行 动 要 统一 部 署 .决策 果断 、 统 一 出 击 , 在 此 之 外 要 选择 合适 的 时 机 和 策略 ,如 选择 
传销 团伙 开会 期 间 、 过 年 返 乡 期 间 以 及 境外 头目 入 境 期 间 等 抓 捕 时 机 。 


17.6.5 勘查 取证 


电子 数据 是 网 络 传销 案 的 核心 证 据 , 该 类 案件 勘查 取证 的 关键 是 构建 以 电子 数据 证 据 
为 核心 ,犯罪 嫌疑 人 供述 ` 勘 验 笔录 、 技 术 鉴定 和 其 他 书证 、 物 证 为 辅 的 证 据 链 , 同 时 电子 数 
据 证 据 与 辅助 证 据 又 能 相互 印证 。 在 法 律 和 技术 层面 传销 案件 取证 均 面 临 相当 困难 ,要 做 
到 完善 案件 证 据 链 并 为 侦查 抓 捕 工作 提供 服务 并 不 简单 , 相 比 传统 传销 案件 ,网 络 传销 案件 
取证 有 着 自身 特点 和 优势 ,在 办 理 过 程 中 要 注意 合理 使 用 取证 技术 。 

在 网 络 传销 案件 勘查 取证 中 ,需要 提前 周密 准备 ,勘查 取证 应 尽量 全 面 ,尽早 固定 完善 
电子 数据 证 据 , 确 保 勘 查 笔录 、 检 验 报告 、 鉴 定 意见 客观 真实 ,侧重 把 握 层 级 结构 特征 ,注意 
收集 证 明 个 人 犯罪 和 共同 犯罪 证 据 、 量 刑 证 据 。 电 子 数据 勘查 取证 要 准确 理解 和 把 握 该 罪 
的 构成 要 件 , 注 意 收集 证 明 层 次 结构 性 的 证 据 , 查 证 合同 的 签订 和 履行 是 否 合法 、 属 实 , 充 分 
收集 书证 ,物证 等 非 网 络 证 据 。 下 面 对 网 络 传销 案件 中 较为 重要 的 人 员 层 级 关系 、 远 程 勘 验 
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权限 突破 、 现 场 勘 验 检查 要 点 等 进行 讲述 。 

1. 人 员 关 系 层级 数据 取证 

《刑法 修正 案 ( 七 )) 出 台 后 ,将 组 织 、 领 导 传销 活动 罪 纳 入 《刑法 ) 条 款 ,但 也 对 侦查 取证 
提出 了 较 高 要 求 ,在 针对 传销 组 织 者、 领导 者 的 立案 追诉 标准 上 ,涉嫌 组 织 、 领 导 的 传销 活动 
人 员 在 30 人 以 上 且 层 级 在 3 级 以 上 的 才能 立案 追诉 。 由 于 传销 活动 具有 单线 联系 、 隐 秘 发 
展 、 份 额 传承 、 虚 假 申购 传 递 等 特点 ,导致 获取 规定 下 线 数 的 证 据 较 为 困难 。 在 网 络 传销 案 
件 取证 过 程 中 ,要 注意 获取 传销 网 站 内 存储 的 人 员 资料 ,特别 是 能 够 反映 人 员 上 下 线 层级 关 
系 的 数据 ,进而 对 网 络 传销 层级 和 上 下 线 人 数 进行 认定 。 

2. 远程 勘 验 权限 突破 

与 传统 传销 相 比 ,网 络 传销 隐蔽 性 强 , 而 且 服 务 器 多 在 境外 ,域名 、IP 地 址 变化 频繁 ,对 
此 需要 获取 网 站 或 服务 器 权限 后 方 可 开展 电子 数据 勘查 取证 工作 。 获 取 网 站 或 服务 器 权限 
的 方法 主要 有 : 

一 是 嫌疑 人 供述 。 通 过 对 已 抓获 的 传销 成 员 、 网 站 开发 者 、 服 务 器 管理 员 或 其 他 技术 人 
员 进 行 讯问 ,获取 传销 网 站 账户 或 服务 器 的 口令 权限 ， 

二 是 社会 工程 学 突破 。 通 过 社会 工程 学 ,获取 网 站 或 服务 器 控制 权限 ,进一步 获取 其 网 
络 传销 内 部 信息 。 

3。 勒 查 取证 要 点 

电子 数据 勘查 取证 ,主要 应 用 于 对 嫌疑 人 主机 、 移 动 设备 .违法 服务 器 的 数据 分 析 取 证 。 
网 络 传销 案件 勘查 取证 , 除 进行 常规 的 网 络 案件 取证 流程 外 ,还 要 针对 该 类 案件 特点 进行 专 
门 侧重 ,具体 包括 : 

一 是 网 络 传销 团队 关系 。 由 于 传销 的 单线 联系 特点 ,导致 传销 案件 层级 关系 难以 确认 ， 
在 网 络 数据 分 析 中 ,只 要 获取 其 网 站 后 台数 据 库 , 便 能 分 析出 人 员 层 级 关系 。 

二 是 网 络 传销 资金 流量 。 传 销 案件 资金 流量 的 追查 ,一 般 涉及 银行 账户 和 电子 支付 平 
台 交 易 追 查 , 协 查 手续 烦琐 ,周期 较 长 ,在 网 络 传销 案件 资金 流 追 查 过 程 中 ,要 力争 控制 网 站 
后 台 资金 数据 ,将 网 站 资金 交易 数据 与 线 下 追查 进行 配合 ,能 达到 较 好 效果 。 

三 是 个 人 主机 取证 。 对 传销 成 员 的 电脑 主机 、 移 动 终端 进行 取证 ,要 留意 从 中 发 现 历史 
网 络 行为 个 人 账户 口令 有 和 否 其 他 传销 活动 线索 等 。 对 于 网 站 技术 人 员 , 要 注意 搜集 其 维 
护 的 网 站 权限 线索 ,对 于 传销 组 织 领导 人 员 , 要 注意 搜集 其 线 下 人 员 的 资料 和 内 部 管理 材 

四 是 移动 终端 取证 。 注 意 对 手机 通讯 工具 内 容 的 获取 ,包括 微 信 、whatsapp、talkbox 
等 软件 联系 人 和 通讯 内 容 的 获取 。 

4. 网 络 传销 数据 资料 鉴定 

同 其 他 网 络 案件 一 样 ,网络 传销 案件 涉及 的 电子 数据 必要 时 候 可 以 委托 电子 证 据 司法 
鉴定 机 构 , 对 所 有 电子 数据 进行 司法 鉴定 ,传销 涉及 的 财务 和 内 部 管理 资料 可 以 委托 司法 会 
计 鉴 定 机 构 进行 司法 鉴定 。 
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17.6.6 侦查 终结 


公安 机 关 对 网 络 传销 活动 予以 立案 ,经 过 侦查 ,网 络 传销 的 主要 犯罪 事实 已 经 查 清 , 掌 
握 的 证 明 案件 事实 的 证 据 确 实 、 充 分 ,这 是 侦查 终结 的 必要 条 件 。 

1. 网 络 传销 打击 原则 

网 络 传销 活动 作为 新 兴 犯 罪 活 动 ,有 必要 予以 严厉 打击 ,但 由 于 其 形式 较 新 、 涉 案 人 员 
较 多 、 案 情 复 杂 , 为 维护 社会 稳定 ,本 着 打击 、 教 育 的 目的 ,可 以 合理 制订 打击 原则 : 一 是 “ 打 
击 少数 、 教 育 大 多 数 ” 原 则 。 通 过 刑事 打击 和 行政 处 罚 的 有 机 衔接 ,最 大 限度 地 缩小 打击 处 
理 面 ,扩大 教育 挽救 面 。 

二 是 对 属于 打击 范围 ,但 积极 配合 侦查 ,主动 退出 违法 所 得 ,以 及 具有 投案 自首 等 情节 
的 可 商检 ,法 减轻 或 免 子 刑事 处 罚 。 

三 是 对 不 听 劝 阻 ,散布 有 害 信息 , 挑 头 策划 组 织 闹事 等 危害 社会 秩序 , 且 达 到 立案 追诉 
标准 的 ,应 予 依法 打击 处 理 。 
2. 网 络 传 销 处 罚 

根据 (禁止 传销 条 例 ) 第 九条 、 第 二 十 六 条 的 规定 ,利用 互联 网 等 媒体 发 布 含有 传销 信息 
的 ,以 及 为 传销 活动 提供 经 营 场 所 ,培训 场所 、 货 源 、 保 管 .仓储 等 便利 条 件 的 ,也 是 违法 行 
为 ,也 要 受到 查处 。 

为 网 上 传销 提供 服务 器 服务 属于 为 传销 提供 便利 条 件 的 行为 ,应 当 承担 法 律 责 任 。 按 
照 (禁止 传销 条 例 ) 第 二 十 六 条 第 二 款 的 规定 ,由 工商 行政 管理 机 关 责 令 停止 违法 行为 ,并 通 
知 电信 等 有 关 部 门 依照 (互联 网 信息 服务 管理 办 法 》 子 以 处 罚 。 可 责令 停业 整顿 .吊销 经 营 
许可 证 ,关闭 网 站 。 人 情节 严重 构成 犯罪 的 ,还 要 依法 追究 其 刑事 责任 。 

为 传销 活动 设计 运作 方案 ,计算 机 软件 ,提供 技术 服务 的 行为 属于 为 传销 活动 提供 便利 
条 件 的 行为 ,应 当 承 担 相 应 的 法 律 责 任 。 按 照 (禁止 传销 条 例 ) 第 二 十 六 条 第 一 款 的 规定 ,为 
传销 提供 便利 条 件 的 ,执法 机 关 可 以 责令 停止 违法 行为 ,没收 违法 所 得 ,处 5 万 元 以 上 50 万 
元 以 下 的 罚款 。 对 构成 犯罪 的 ,依法 追究 其 刑事 责任 。 

此 外 ,打击 传销 犯罪 尤其 是 网 络 传销 犯罪 不 仅仅 是 公安 机 关 一 家 的 责任 ,还 涉及 工商 、 
电信 等 多 个 部 门 ,对 于 其 他 省 市 参与 传销 的 人 员 ,侦办 后 要 移送 当地 依法 起 诉 。 因 此 ,公安 
机 关 在 打击 过 程 中 要 紧密 结合 其 他 部 门 共同 维护 社会 稳定 。 


17.7 网 络 传销 案件 的 证 据 要 点 


所 有 的 传销 无 论 是 “传人 ”还 是 “ 传 商 品 "或 是 专卖 ,特价 加 盟 、 代 理 ,只 要 构成 传销 ,取证 
都 有 一 定 的 规律 可 循 ,有 着 共同 的 取证 方向 ,只 是 不 同类 型 的 传销 案件 ,在 具体 证 据 种 类 上 
有 所 类 别 。 

(1) 有 奖 分 配制 度 存在 的 证 据 。 查 传销 就 要 证 明 传 销 行为 的 存在 ,而 奖励 分 配制 度 往 
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往 就 是 传销 行为 的 书面 表现 形式 ,是 查处 传销 案件 的 关键 证 据 。 不 同类 型 的 案件 中 奖励 分 
配制 度 的 名 称 不 一 ,有 的 称 销售 计划 、 奖 励 分 配制 度 、 报 酬 计划 等 等 。 通 常 获得 奖励 分 配制 
度 的 证 据 来 源 有 : 参与 人 员 ( 包 括 上 线 和 下 线 ) 的 询问 笔录 、 参 与 人 员 笔 记 本 中 记录 的 听课 
内 容 、 生 产 产品 公司 发 放 的 宣传 资料 、 网 上 对 营销 方式 的 介绍 等 。 

(2) 人 员 数 量 和 人 员 组 织 结构 人 物 链 ,通过 对 当事人 及 参与 人 员 ( 上 线 和 下 线 ) 的 询问 ， 
了 人 解 他 们 是 如 何 加 入 营销 组 织 的 ,如 何 发 展 他 人 的 上 下 线 , 如 何 获取 回报 以 及 参与 网 络 传销 
的 物品 是 如 何 流转 的 等 等 ,根据 询问 笔录 绘制 每 个 传销 人 员 的 关系 网 ,最 后 汇总 绘制 成 一 张 
完整 的 网 络 关系 图 并 交 由 当事人 及 参与 人 员 确 认 。 互 联网 传销 还 可 以 通过 其 会 员 卡 号 及 密 
码 , 层 层 查 询 ,将 网 络 图 绘制 出 来 。 这 些 网 页 的 数据 下 载 还 可 以 由 公证 机 关 进 行 公 证 或 者 公 
安 网 安 部 门 进行 确认 后 作为 证 据 使 用 。 

(3) 资金 数量 和 分 配 ,是 指 从 银行 获取 入 门 费 交 纳 的 凭证 及 获取 报酬 的 往来 明细 ,一 是 
证 明 传 销 行为 已 经 实施 成 立 ; 二 是 为 了 和 当事人 及 参与 人 员 的 询问 笔录 与 奖励 分 配制 度 中 
的 内 容 相互 印 证 。 资 金 链 主要 侦查 两 个 方面 : 一 是 付出 ,主要 指 入 门 费 的 交纳 ,可 以 通过 当 
事 人 或 者 银行 提供 汇款 凭证 及 存根 ; 二 是 参加 收益 的 获取 ,通常 是 从 银行 调 取 参与 人 员 尤 
其 是 当事人 专门 用 以 获取 资金 回报 的 银行 卡 的 对 账 折 ,正常 情况 下 汇 出 的 款项 金额 应 当 与 
发 展 的 人 数 相对 应 。 


17.8 网 络 传销 案件 案例 剖析 


案例 一 :“ 香 港 宝马 俱乐部 有 限 公 司 ” 路 国 网 络 传销 案 


2012 年 ,江苏 省 某 地 公安 机 关 侦 查 破获 公安 部 督办 “香港 宝马 ”重大 网 络 传销 案件 ,该 
传销 团伙 以 互联 网 为 载体 ,组 织 、 领 导 传销 活动 进行 跨国 犯罪 ,该 案 刑事 拘留 犯罪 嫌疑 人 57 
名 ,收缴 作案 电脑 30 台 , 银 行 卡 300 余 张 , 假 身份 证 20 余 张 ,涉案 金额 达 15 亿 元 。 

1. 简要 案情 


2012 年 ,犯罪 头目 邓 某 等 17 人 发 起 成 立 了 名 为 “香港 宝马 俱乐部 有 限 公 
司 ” 的 网 络 传销 组 织 , 该 组 织 以 每 日 2% 的 高 额 回报 为 诱 饰 ,采取 “动态 积分 回 
馈 计 划 ” 进 行 返利 ,在 2012 年 4 月 至 10 月 期 间 , 形 成 36 级 传销 网 络 ,发 展会 
员 4 万 多 人 ,分 布 全 国 25 个 省 市 自治 区 。 


该 传销 网 站 运作 模式 有 四 种 : 
。 静态 投资 。 
2012 年 4 月 17 日 运行 ,每 月 及 时 返还 会 员 所 投资 金 的 2% ,以 此 大 量 吸 引 人 员 参加 ,为 
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发 展 “ 动 态 积分 ?聚集 人 脉 。 

。 动态 积分 。 

2012 年 6 月 14 日 运行 ,采取 双 区 发 展 成 员 的 方式 ,入 门 费 5500 元 , 按 加 入 时 间 先 后 顺 
序 及 投入 资金 数量 形成 上 下 级 金字 塔 结构 ,会 员 按照 发 展 下 家 数量 进行 提成 。 

。 网 络 通讯 。 

为 进一步 从 思想 上 控制 会 员 , 达 到 给 会 员 * 洗 脑 ” 目 的 ,宝马 传销 团伙 建立 了 网 络 聊天 
室 、 论 坛 等 网 站 ,利用 网 络 聊天 工具 YY 语音 软件 定时 网 上 授课 ,引诱 会 员 追 加 投资 。 

2. 侦破 过 程 

专案 组 成 立 后 ,本 着 “ 追 上 线 、 打 团伙 、 摧 网 络 ” 的 思路 ,以 本 地 传销 犯罪 行为 为 突破 口 ， 
针对 该 案 开 展 侦查 。 

。 人 员 组 织 结构 摸排 。 

对 本 地 犯罪 嫌疑 人 赵 某 某 的 网 络 活动 轨迹 ,资金 流向 开展 深层 次 研判 ,通过 传销 网 站 后 
台数 据 和 外 围 摸 排 ,掌握 了 其 共 发 展 300 多 人 成 为 下 线 会 员 的 犯罪 事实 , 摸 清 了 人 员 层 级 ， 
该 团伙 按照 级 别 划 分 为 紫 马 (宝马 老总 ) , 橙 马 (网 站 维护 人 ) ` 黄 马 (高 层 管理 员 ) .白马 (普通 
会 员 ); 二 是 对 赵 某 某 虚拟 身份 深入 研判 ,发 现 其 加 入 的 “宝马 管理 ”QQ 群 , 群 成 员 有 80 余 
人 ,并 进行 落地 ,掌握 了 网 站 高 层 人 员 的 真实 身份 : 创立 人 邓 某 某 ,维护 人 张 某 某 ,经 理 郭 
某 、 王 某 某 ,财务 总 监 洪 某 某 等 重点 人 员 均 已 在 网 站 创立 初期 出 境 至 菲律宾 。 

。 资金 流向 追查 。 

该 犯罪 团伙 有 较 强 的 反 侦查 意识 ,收取 会 员 费 与 发 放 提现 款 有 严格 的 程序 ,每 天 或 每 几 
个 小 时 便 会 更 换 转 账 银行 卡 , 想 借助 不 断 更 换 银 行 卡 的 \ 大 量 资金 不 断 通 过 网 银 进行 多 层次 
流转 等 方法 逃避 公安 机 关 的 侦查 取证 。 专 案 组 不 县 艰难 ,先后 调 取 了 1000 余 张 涉案 银行 卡 
的 网 银 记录 ,从 大 量 的 转账 数据 中 成 功 分 析出 犯罪 团伙 的 屯 钱 账户 。 

专案 组 在 围绕 宝马 网 站 的 犯罪 事实 ,做 了 大 量 、 细 致 的 查证 取证 工作 后 ,抓获 犯罪 嫌疑 
人 38 名 ,同时 对 位 于 菲律宾 的 犯罪 嫌疑 人 开展 路 境 抓 捕 , 抓 获 犯罪 嫌疑 人 19 名 。 

3. 成 功 经 验 

该 网 络 传销 案件 中 ,传销 头目 、 网 站 和 服务 器 均 在 境外 ,领导 组 织 核心 不 在 立案 单位 本 
地 ,缺少 直接 线索 ,但 办 案 单 位 能 在 不 到 二 个 月 时 间 成 功 侦破 ,积累 了 大 量 的 成 功 经 验 。 

。 法 律 依据 扎实 , 跨 部 门 合作 顺利 。 

在 案件 管辖 方面 ,根据 公安 部 、 最 高 人 民 检 察 院 、 最 高 人 民法 院 联 合 颁布 的 (关于 办 理 流 
动 性 团伙 性 跨 区 域 性 犯罪 案件 有 关 问 题 的 意见 ) 之 管辖 规定 ,该 市 公安 机 关 具 备 该 案 管 辖 
权 。 在 案件 定性 方面 ,公安 和 检 ,法 机 关 达 成 共识 ,一 致 认为 案件 符合 构成 组 织 、 领 导 传 销 活 
动 罪 构成 要 件 。 

。 开展 技术 创新 ,推进 多 警 合 作 。 

一 是 办 案 思路 明确 。 在 侦办 过 程 中 ,改变 打 传 统 传销 只 打 基 层 网 点 的 思维 方式 ,确立 了 
“ 追 上 线 . 打 团伙 、 摧 网 络 ” 的 长 远 工作 目标 。 侦 查 人 员 立 足 本 地 、 以 点 带 面 ,及 时 查证 \ 稳 扎 


522 网 络 犯罪 侦查 


稳 打 。 

二 是 多 警 联合 行动 。 网 络 传销 隐蔽 性 强 , 单 靠 一 个 部 门 、 一 个 警 种 不 可 能 完成 破案 ,办 
案 单 位 从 经 侦 、 技 侦 、 刑 侦 、 网 安 等 部 门 抽 调 业务 骨干 组 成 专案 组 ,集中 力量 、 集 中 办 公 。 侦 
查 中 ,综合 运用 各 种 网 侦 手 段 , 以 及 旅馆 业 查 询 、 暂 住人 口 查询 .出 入 境 人 员 查询 、 车 辆 查询 
等 侦查 措施 ,掌握 犯罪 嫌疑 人 的 活动 轨迹 、 详 细 身 份 资 料 和 财产 状况 ,为 破案 创造 了 有 利 
条 件 。 


17.9 本 章 小 结 


本 童 主要 内 容 是 网 络 传销 的 整体 情况 概述 、 网 络 传销 案件 的 侦查 要 点 和 典型 案例 分 析 ， 
其 中 概述 部 分 对 网 络 传销 的 概念 形式 、 类 型 特点、 组织 架构 等 进行 了 全 面 的 介绍 ; 侦查 要 
点 部 分 主要 介绍 了 网 络 传销 案件 的 管辖 ,立案 审查 、 侦 查 排查 抓 捕 嫌 疑 人 、 勘 查 取 证 和 证 据 
要 点 及 诉讼 要 点 ,案例 部 分 介绍 了 近年 来 打击 的 特大 网 络 传销 案例 ,并 对 网 络 传销 案件 的 发 
展 趋势 进行 了 简要 总 结 。 通 过 本 章 的 学 习 , 需 要 掌握 网 络 传销 的 整体 形势 ,熟悉 网 络 传销 案 
件 的 特点 和 组 织 架 构 。 在 网 络 侦查 要 点 部 分 ,应 该 重点 掌握 排查 和 抓 捕 嫌 疑 人 需要 注意 的 
重点 事项 ,在 收集 证 据 方面 要 根据 网 络 传销 的 构成 要 件 全 面 收集 相关 证 据 , 对 于 电子 证 据 材 
料 要 熟悉 网 络 传销 案件 的 主要 证 据 形式 .证 据 来 源 和 主要 提取 固定 方式 。 


思 考 题 
. 简 述 网 络 传销 的 概念 和 运作 方式 。 


网 络 传销 的 类 型 有 哪些 ? 

. 网 络 传销 的 法 律 规定 有 哪些 ? 

. 简 述 网 络 传销 案件 的 线索 发 现 方法 。 
. 简 述 网 络 传销 案件 的 证 据 要 点 。 
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附录 1 书 中 法 律 简写 说 明 


1.《 中 华人 民 共 和 国 刑法 》 简 称 ( 刑 法 》,1997 年 版 简称 (97 刑法 》《 中 华人 民 共 和 国 刑 
法 修正 案 (七 )) 简 称 ( 修 七 );《 中 华人 民 共 和 国 刑法 修正 案 ( 九 )®) 简 称 ( 修 九 》; 

2.《 中 华人 民 共 和 国 刑事 诉讼 法 ) 简 称 《 刑 诉 法 》; 

3.《 最 高 人 民法 院 关 于 适用 二 中 华人 民 共 和 国 刑事 诉讼 法 二 的 解释 )( 法 释 [2012]21 
号 ); 简称 (刑事 诉讼 法 解释 》; 

4.《 中 华人 民 共 和 国治 安 管 理 处 罚 法 ) 简 称 《治安 管理 处 罚 法 》; 

5.《 关 于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 程序 若干 问题 的 意见 ) 简 称 ( 网络 犯罪 刑事 诉 
讼 程序 意见 ,又 称 为 ( 公 通 字 10 号 》; 

6.《 关 于 办 理 危 害 计 算 机 信息 系统 安全 刑事 案件 应 用 法 律 若 干 问 题 的 解释 ) 简 称 《危害 
计算 机 信息 系统 安全 犯罪 解释 》, 又 称 为 (黑客 司法 解释 》; 

7.《 关 于 办 理 赌 博 刑 事 案件 具体 应 用 法 律 若 干 问题 的 解释 ) 简 称 《赌博 司法 解释 》; 

8.《 关 于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 问题 的 意见 》 简 称 ( 网 络 赌博 意见 》， 

9.《 关 于 办 理 利用 互联 网 、 移 动 通讯 终端 ,声讯台 制 作 、 复 制 . 出 版 ,贩卖 ,传播 淫秽 电子 
信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ) 简 称 ( 色 情 司法 解释 一 》; 

10.《 关 于 办 理 利用 互联 网 移动 通讯 终端 声讯 台 制 作 、 复 制 、 出 版 .贩卖 ,传播 淫秽 电 
子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 (二 )) 简 称 (色情 司法 解释 二 》; 

11.《 关 于 办 理 诈骗 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ) 简 称 ( 诈 骗 司 法 解释 》; 

12.《 关 于 办 理 盗 窃 刑 事 案件 适用 法 律 若 干 问题 的 解释 ?简称 (盗窃 司法 解释 》 

13.《 关 于 办 理 利用 信息 网 络 实施 诽谤 等 刑事 案件 适用 法 律 若干 问题 的 解释 ?简称 《 诽 
谤 司法 解释 》; 

14.《 中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 )( 国 务 院 令 第 147 号 ) 简 称 (国务 
院 147 号 令 》; 


四 发 布 日 期 : 2009 年 2 月 28 日 实施 日 期 : 2009 年 2 月 28 日 。 
@ 发布 日 期 : 2015 年 8 月 29 日 实施 日 期 : 2015 年 11 月 1 日 。 
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15.《 互 联网 信息 服务 管理 办 法 兴国 务 院 令 第 292 号 ) 简 称 ( 国 务 院 292 号 令 》; 

16.《 计 算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 兴 公 安 部 令 第 33 号 ) 简 称 ( 公 安 部 33 
号 令 》; 

17.《 关 于 依法 办 理 非法 生产 销售 使 用 * 伪 基站 ”设备 案件 的 意见 》 简 称 ( 伪 基站 意见 》。 


附录 2 中 华人 民 共 和 国 刑法 (节选 ) 


(1979 年 7 月 1 日 第 五 届 全 国人 民 代 表 大 会 第 二 次 会 议 通 过 ,1997 年 3 月 14 日 第 八 届 
全 国人 民 代 表 大 会 第 五 次 会 议 修订 。 根 据 1999 年 12 月 25 日 中 华人 民 共 和 国 刑法 修正 案 ， 
2001 年 8 月 31 日 中 华人 民 共 和 国 刑法 修正 案 ( 二 ),2001 年 12 月 29 日 中 华人 民 共 和 国 刑 
法 修正 案 ( 三 ),2002 年 12 月 28 日 中 华人 民 共 和 国 刑法 修正 案 ( 四 ),2005 年 2 月 28 日 中 华 
人 民 共 和 国 刑法 修正 案 ( 五 ),2006 年 6 月 29 日 中 华人 民 共 和 国 刑法 修正 案 ( 六 ),2009 年 2 
月 28 日 中 华人 民 共 和 国 刑法 修正 案 ( 七 ) 修 正 ,根据 2009 年 8 月 27 日 (全 国人 民 代表 大 会 
常务 委员 会 关于 修改 部 分 法 律 的 决定 ) 修 正 , 根 据 2011 年 2 月 25 日 中 华人 民 共和 国 刑法 修 
正 案 ( 八 ) 修 正 , 根 据 2015 年 8 月 29 日 第 十 二 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 六 次 会 
议 通过 的 《刑法 修正 案 ( 九 )) 修 正 。) 

第 二 百 四 十 六 条 【侮辱 罪 ,诽谤 罪 ] 以 暴力 或 者 其 他 方法 公然 侮辱 他 人 或 者 捏造 事实 
诽谤 他 人 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 ,拘役 .管制 或 者 剥夺 政治 权利 。 

前 款 罪 ,告诉 的 才 处 理 , 但 是 严重 危害 社会 秩序 和 国家 利益 的 除外 。 

通过 信息 网 络 实施 第 一 款 规定 的 行为 被害人 向 人 民法 院 告诉 ,但 提供 证 据 确 有 困难 
的 ,人 民法 院 可 以 要 求 公安 机 关 提 供 协 助 。 

第 二 百 五 十 三 条 之 一 【侵犯 公民 个 人 信息 罪 3 违 反 国家 有 关 规 定 , 向 他 人 出 售 或 者 提 
供 公民 个 人 信息 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特 
别 严 重 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 .并 处 罚金 。 

违反 国家 有 关 规 定 , 将 在 履行 职责 或 者 提供 服务 过 程 中 获得 的 公民 个 人 信息 ,出 售 或 者 
提供 给 他 人 的 ,依照 前 款 的 规定 从 重 处 罚 。 

窃取 或 者 以 其 他 方法 非法 获取 公民 个 人 信息 的 ,依照 第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。 
第 二 百 八 十 五 条 【非法 侵入 计算 机 信息 系统 罪 ; 非法 获取 计算 机 信息 系统 数据 ,控制 
计算 机 信息 系统 罪 ; 提供 侵入 ,非法 控制 计算 机 信息 系统 程序 .工具 罪 3 违 反 国家 规定 ,侵入 
到 家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 
拘役 。 

违反 国家 规定 ,侵入 前 款 规定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 计 
算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 .或 者 对 该 计算 机 信息 系统 实施 非法 控制 ,情节 
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严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 
七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

提供 专门 用 于 侵入 非法 控制 计算 机 信息 系统 的 程序 、 工 具 , 或 者 明知 他 人 实施 侵入 、 非 
法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 工具, 情节 严重 的 ,依照 前 款 的 规 
定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 , 依 照 各 该 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 【破坏 计算 机 信息 系统 罪 ; 网 络 服务 渎职 罪 3 违反 国家 规定 ,对 计算 
机 信息 系统 功能 进行 删除 ,修改 、 增 加 ,干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 
的 ,处 五 年 以 下 有 期 徒刑 或 者 拘役 ; 后 果 特 别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 

违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删除 、 
修改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 ,依照 
第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 , 依 照 第 一 款 的 规定 处 罚 。 

第 二 百 八 十 六 条 之 一 【 拒 不 履行 信息 网 络 安 全 管理 义务 罪 ] 网 络 服 务 提供 者 不 履行 法 
律 . 行 政法 规 规定 的 信息 网 络 安全 管理 义务 ,经 监管 部 门 责令 采取 改正 措施 而 拒 不 改正 ,有 
下 列 情形 之 一 的 ,处 三 年 以 下 有 期 徒刑 .拘役 或 者 管制 ,并 处 或 者 单 处 罚金 ; 

(一 ) 致使 违法 信息 大 量 传播 的 ; 

(二 ) 致使 用 户 信息 泄露 ,造成 严重 后 果 的 ; 

(三 ) 致使 刑事 案件 证 据 灭失 ,情节 严重 的 ; 

(四 ) 有 其 他 严重 情节 的 。 
单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 前 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 【利用 计算 机 实施 犯罪 的 提示 性 规定 了 利用 计算 机 实施 金融 诈骗 、 盗 
窃 贪污 .挪用 公款 、 窃 取 国家 秘密 或 者 其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 一 【非法 利用 信息 网 络 罪 3 利用 信息 网 络 实施 下 列 行为 之 一 ,情节 
严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : 

(一 ) 设立 用 于 实施 诈骗 .传授 犯罪 方法 、 制 作 或 者 销售 违禁 物品 ,管制 物品 等 违法 犯罪 
活动 的 网 站 ,通讯 群 组 的 ; 

(二 ) 发 布 有 关 制 作 或 者 销售 毒品 .枪支 .淫秽 物品 等 违禁 物品 .管制 物品 或 者 其 他 违法 
犯罪 信息 的 ; 

(三 ) 为 实施 诈骗 等 违法 犯罪 活动 发 布 信 息 的 。 
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单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 【帮助 信息 网 络 犯罪 活动 罪 3 明知 他 人 利用 信息 网 络 实施 犯罪 ， 
为 其 犯罪 提供 互联 网 接 入 、 服 务 器 托管 网络 存 储 、 通 讯 传输 等 技术 支持 ,或 者 提供 广告 推 
广 、 支 付 结 算 等 帮助 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 八条 【扰乱 无 线 电 管理 秩序 罪 ] 违 反 国家 规定 ,擅自 设置 ,使 用 无 线 电 台 
(站 ) ,或 者 擅自 使 用 无 线 电 频 率 ,干扰 无 线 电 通讯 秩序 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 、 
拘役 或 者 管制 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 处 
罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 前 款 的 规定 处 罚 。 

二 百 九 十 一 条 之 一 【编造 ,故意 传播 虚假 信息 罪 】 

编造 虚假 的 险情 、 疫 情 、 灾 情 、 警 情 . 在 信息 网 络 或 者 其 他 媒体 上 传播 ,或 者 明知 是 上 述 

虚假 信息 ,故意 在 信息 网 络 或 者 其 他 媒体 上 传播 ,严重 扰乱 社会 秩序 的 ,处 三 年 以 下 有 期 徒 
刑 、 拘 役 或 者 管制 ; 造成 严重 后 果 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 。 


附录 3 中 华人 民 共 和 国 刑法 修正 案 ( 九 )( 节 选 ) 


(2015 年 8 月 29 日 第 十 二 届 全 国人 民 代表 大 会 常务 委员 会 第 十 六 次 会 议 通过 ) 
十 六 、 在 刑法 第 二 百 四 十 六 条 中 增加 一 款 作为 第 三 款 :“ 通 过 信息 网 络 实施 第 一 款 规 
定 的 行为 ,被 害 人 向 人 民法 院 告诉 ,但 提供 证 据 确 有 困难 的 ,人 民法 院 可 以 要 求 公 安 机 关 提 
十 七 、 将 刑法 第 二 百 五 十 三 条 之 一 修改 为 :“ 违 反 国 家 有 关 规 定 , 向 他 人 出 售 或 者 提供 
公民 个 人 信息 ,情节 严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ; 情节 特别 
严重 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

违反 国家 有 关 规 定 , 将 在 履行 职责 或 者 提供 服务 过 程 中 获得 的 公民 个 人 信息 ,出 售 或 者 
提供 给 他 人 的 ,依照 前 款 的 规定 从 重 处 罚 。 

窃取 或 者 以 其 他 方法 非法 获取 公民 个 人 信息 的 ,依照 第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。” 

二 十 六 、 在 刑法 第 二 百 八 十 五 条 中 增加 一 款 作 为 第 四 款 :“ 单 位 犯 前 三 款 罪 的 ,对 单位 
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判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依照 各 该 款 的 规定 处 罚 .” 
三 十 七 `、 在 刑法 第 二 ee 款 作为 第 四 款 :“ 单 位 犯 前 三 款 罪 的 ,对 单位 
判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依照 第 一 款 的 规定 处 罚 。 
二 十 八 、 在 刑法 第 二 百 八 十 六 条 后 增加 一 条 ,作为 第 二 百 八 十 六 条 之 一 :“ 网 络 服务 提 
供 者 不 履行 法 律 \ 行 政法 规 规定 的 信息 网 络 安全 管理 义务 ,经 监管 部 门 责令 采取 改正 措施 而 
拒 不 改正 ,有 下 列 情形 之 一 的 ,处 三 年 以 下 有 期 徒刑 .拘役 或 者 管制 ,并 处 或 者 单 处 罚金 : 

(一 ) 致使 违法 信息 大 量 传播 的 ; 

(二 ) 致使 用 户 信息 泄露 ,造成 严重 后 果 的 ; 

(三 ) 致使 刑事 案件 证 据 灭 失 , 情 节 严 重 的 ; 

(四 ) 有 其 他 严重 情节 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 前 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

二 十 九 、 在 刑法 第 二 百 八 十 七 条 后 增加 二 条 ,作为 第 二 百 八 十 七 条 之 一 、 第 二 百 八 十 七 
条 之 二 : 

第 二 百 八 十 七 条 之 一 利用 信息 网 络 实施 下 列 行为 之 一 ,情节 严重 的 ,处 三 年 以 下 有 期 徒 
刑 或 者 拘役 ,并 处 或 者 单 处 罚金 : 

(一 ) 设立 用 于 实施 诈骗 ,传授 犯罪 方法 .制作 或 者 销售 违禁 物品 、 管 制 物品 等 违法 犯罪 
活动 的 网 站 ,通讯 群 组 的 ; 

(二 ) 发 布 有 关 制 作 或 者 销售 毒品 、 枪 支 .淫秽 物品 等 违禁 物品 、 管 制 物品 或 者 其 他 违法 
犯罪 信息 的 ; 

(三 ) 为 实施 诈骗 等 违法 犯罪 活动 发 布 信息 的 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

第 二 百 八 十 七 条 之 二 明知 他 人 利用 信息 网 络 实 施 犯 罪 , 为 其 犯罪 提供 互联 网 接 入 、 服 务 
器 托管 .网 络 存储 、 通 讯 传 输 等 技术 支持 ,或 者 提供 广告 推广 .支付 结算 等 帮助 ,情节 严重 的 ， 
处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 。 

单位 犯 前 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ， 
依照 第 一 款 的 规定 处 罚 。 

有 前 两 款 行为 ,同时 构成 其 他 犯罪 的 .依照 处 罚 较 重 的 规定 定罪 处 罚 。 

三 十 、 将 刑法 第 二 百 八 十 八条 第 一 款 修改 为 :“ 违 反 国 家 规定 .擅自 设置 ,使 用 无 线 电 
人 台 ( 站 ), 或 者 擅自 使 用 无 线 电 频率 .干扰 无 线 电 通讯 秩序 ,情节 严重 的 ,处 三 年 以 下 有 期 徒 
刑 、 拘 役 或 者 管制 ,并 处 或 者 单 处 罚金 ; 情节 特别 严重 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 ,并 
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三 十 二 ,在 刑法 第 二 百 九 十 一 条 之 一 中 增加 一 款 作为 第 二 款 :“ 编 造 虚假 的 险情 ,疫情 、 
灾情 、 警 情 , 在 信息 网 络 或 者 其 他 媒体 上 传播 ,或 者 明知 是 上 述 虚 假 信息 ,故意 在 信息 网 络 或 
者 其 他 媒体 上 传播 ,严重 扰乱 社会 秩序 的 ,处 三 年 以 下 有 期 徒刑 .拘役 或 者 管制 ; 造成 严重 
后 果 的 ,处 三 年 以 上 七 年 以 下 有 期 徒刑 。” 


附录 4 中 华人 民 共 和 国 刑事 诉讼 法 (节选 ) 


(1979 年 7 月 1 日 第 五 届 全 国人 民 代表 大 会 第 二 次 会 议 通过 根据 1996 年 3 月 17 日 第 
八 届 全 国人 民 代 表 大 会 第 四 次 会 议 ( 关 于 修改 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 决定 ) 第 一 次 
修正 根据 2012 年 3 月 14 日 第 十 一 届 全 国人 民 代表 大 会 第 五 次 会 议 ( 关 于 修改 (中 华人 民 共 
和 国 刑事 诉讼 法 ) 的 决定 ) 第 二 次 修正 ) 

《全 国人 民 代 表 大 会 关于 修改 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 决定 ) 已 由 中 华人 民 共 和 
国 第 十 一 届 全 国人 民 代 表 大 会 第 五 次 会 议 于 2012 年 3 月 14 日 通过 , 现 予 公布 , 自 2013 年 1 
月 1 日 起 施行 。 

第 一 编 ” 总 则 

第 二 章 ”管辖 

第 二 十 四 条 ”刑事 案件 由 犯罪 地 的 人 民法 院 管辖 。 如 果 由 被 告 人 居住 地 的 人 民法 院 审 
判 更 为 适宜 的 ,可 以 由 被 告 人 居住 地 的 人 民法 院 管辖 。 

第 五 章 ”证据 

第 四 十 八条 ”可 以 用 于 证 明 案件 事实 的 材料 ,都 是 证 据 。 

证 据 包 括 : 

(一 ) 物证 ; 

(二 ) 书证 ; 

(三 ) 证 大 证 言 ; 

(四 ) 被 害 人 陈述 ; 

(五 ) 犯罪 嫌疑 人 、 被 告 人 供述 和 辩解 ; 

(六 ) 鉴定 意见 ; 

(七 ) 勘 验 、 检 查 .辨认 、 侦 查实 验 等 笔录 ; 

( 八 ) 视听 资料 .电子 数据 。 

证 据 必 须 经 过 查证 属实 ,才能 作为 定案 的 根据 。 

第 四 十 九条 公诉 案件 中 被 告 人 有 罪 的 举证 责任 由 人 民 检 察 院 承担 ,自诉 案件 中 被 告 
人 有 罪 的 举证 责任 由 自诉 人 承担 。 

第 五 十 条 ”审判 人 员 ,检察 人 员 、 侦 查 人 员 必 须 依照 法 定 程序 ,收集 能 够 证 实 犯 罪 嫌 疑 
人 .被告 人 有 罪 或 者 无 罪 、 犯 罪 情 节 轻 重 的 各 种 证 据 。 严 禁 刑 讯 允 供 和 以 威胁 .引诱 .欺骗 以 
及 其 他 非法 方法 收集 证 据 , 不 得 强迫 任何 人 证 实 自己 有 罪 。 必 须 保证 一 切 与 案件 有 关 或 者 
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了 解 案情 的 公民 ,有 客观 地 充分 地 提供 证 据 的 条 件 , 除 特殊 情况 外 ,可 以 吸收 他 们 协助 调查 。 

第 五 十 一 条 ”公安 机 关 提 请 批准 逮捕 书 、 人 民 检 察 院 起 诉 书 、 人 民法 院 判 决 书 ,必须 忠 
实 于 事实 真相 。 故 意 隐 瞒 事实 真相 的 ,应 当 追 究 责任 。 

第 五 十 二 条 ”人 民法 院 、 人 民 检 察 院 和 公安 机 关 有 权 向 有 关 单 位 和 个 人 收集 、 调 取证 
据 。 有 关 单 位 和 个 人 应 当 如 实 提供 证 据 。 

行政 机 关 在 行政 执法 和 查办 案件 过 程 中 收集 的 物证 书证、 视听 资料 .电子 数据 等 证 据 
材料 ,在 刑事 诉讼 中 可 以 作为 证 据 使 用 。 

对 涉及 国家 秘密 、 商 业 秘密 、 个 人 隐私 的 证 据 , 应 当 保 密 。 

凡是 伪造 证 据 、 隐 匿 证 据 或 者 毁灭 证 据 的 ,无 论 属于 何方 ,必须 受 法律 追 究 。 

第 五 十 三 条 ”对 一 切 案件 的 判处 都 要 重 证 据 , 重 调查 研究 ,不 轻信 口供 。 只 有 被 告 人 供 
述 ,没有 其 他 证 据 的 ,不 能 认定 被 告 人 有 罪 和 处 以 刑罚 ; 没有 被 告 人 供述 ,证 据 确 实 、 充 分 
的 ,可 以 认定 被 告 人 有 罪 和 处 以 刑罚 。 

证 据 确实 、 充 分 ,应 当 符合 以 下 条 件 : 

(一 ) 定罪 量刑 的 事实 都 有 证 据 证 明 ， 

(二 ) 据 以 定案 的 证 据 均 经 法 定 程序 查证 属实 ; 

(三 ) 综合 全 案 证 据 , 对 所 认定 事实 已 排除 合理 怀疑 。 

第 五 十 四 条 ”采用 刑讯 逼供 等 非法 方法 收集 的 犯罪 嫌疑 人 、 被 告 人 供述 和 采用 暴力 、 威 
胁 等 非法 方法 收集 的 证 人 证 言 ,被害人 陈述 ,应 当 予 以 排除 。 收 集 物证 、 书 证 不 符合 法 定 程 
序 ,可 能 严重 影响 司法 公正 的 ,应 当 予 以 补正 或 者 作出 合理 解释 ; 不 能 补正 或 者 作出 合理 解 
释 的 ,对 该 证 据 应 当 予 以 排除 。 

在 侦查 、 审 查 起 诉 、 审 判 时 发 现 有 应 当 排除 的 证 据 的 ,应 当 依法 予以 排除 ,不 得 作为 起 诉 
意见 ,起 诉 决定 和 判决 的 依据 。 

第 五 十 五 条 人 民 检 察 院 接 到 报案 、 控 告 ` 举 报 或 者 发 现 侦查 人 员 以 非法 方法 收集 证 据 
的 ,应 当 进行 调查 核实 。 对 于 确 有 以 非法 方法 收集 证 据 情 形 的 ,应 当 提 出 纠正 意见 ; 构成 犯 
罪 的 ,依法 追究 刑事 责任 。 

第 五 十 六 条 ”法 庭审 理 过 程 中 ,审判 人 员 认 为 可 能 存在 本 法 第 五 十 四 条 规定 的 以 非法 
方法 收集 证 据 情形 的 ,应 当 对 证 据 收集 的 合法 性 进行 法 庭 调 查 。 

当事人 及 其 辩护 人 .诉讼 代理 人 有 权 申 请 人 民法 院 对 以 非法 方法 收集 的 证 据 依法 予以 
排除 。 申 请 排除 以 非法 方法 收集 的 证 据 的 ,应 当 提供 相关 线索 或 者 材料 。 

第 五 十 七 条 ”在 对 证 据 收 集 的 合法 性 进行 法 庭 调查 的 过 程 中 ,人 民 检 察 院 应 当 对 证 据 
收集 的 合法 性 加 以 证 明 。 

现 有 证 据 材 料 不 能 证 明证 据 收 集 的 合法 性 的 ,人 民 检 察 院 可 以 提请 人 民法 院 通 知 有 关 
侦查 人 员 或 者 其 他 人 员 出 庭 说 明 情况 ; 人 民法 院 可 以 通知 有 关 侦 查 人 员 或 者 其 他 人 员 出 庭 
说 明 情况 。 有 关 侦 查 人 员 或 者 其 他 人 员 也 可 以 要 求 出 庭 说 明 情 况 。 经 人 民法 院 通 知 ,有 关 
人 员 应 当 出 庭 。 
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第 五 十 八条 ”对 于 经 过 法 庭审 理 ,确认 或 者 不 能 排除 存在 本 法 第 五 十 四 条 规定 的 以 非 
法 方法 收集 证 据 情 形 的 ,对 有 关 证 据 应 当 予 以 排除 。 

第 五 十 九条 ”证 人 证 言 必 须 在 法 庭 上 经 过 公诉 人 、 被 害 人 和 被 告 人 、 辩 护 人 双方 质证 并 
且 查 实 以 后 ,才能 作为 定案 的 根据 。 法 庭 查 明证 人 有 意 作伪 证 或 者 隐匿 罪证 的 时 候 ,应 当 依 
法 处 理 。 

第 六 十 条 ”凡是 知道 案件 情况 的 人 ,都 有 作证 的 义务 。 

生理 上 、 精 神 上 有 缺陷 或 者 年 幼 , 不 能 辨别 是 非 .不 能 正确 表达 的 人 ,不 能 作证 人 。 

第 六 十 一 条 ”人 民法 院 、 人 民 检 察 院 和 公安 机 关 应 当 保障 证 人 及 其 近亲 属 的 安全 。 

对 证 人 及 其 近亲 属 进行 威胁 、 侮 辱 、 殴 打 或 者 打击 报复 ,构成 犯罪 的 ,依法 追究 刑事 责 
任 ; 尚 不 够 刑事 处 罚 的 ,依法 给 予 治安 管理 处 罚 。 

第 六 十 二 条 “对 于 危害 国家 安全 犯罪 ,恐怖 活动 犯罪 .黑社会 性 质 的 组 织 犯罪 .毒品 犯 
罪 等 案件 ,证 人 ,鉴定 人 、 被 害 人 因 在 诉讼 中 作证 ,本 人 或 者 其 近亲 属 的 人 身 安全 面临 危险 
的 ,人 民法 院 、 人 民 检 察 院 和 公安 机 关 应 当 采 取 以 下 一 项 或 者 多 项 保护 措施 : 

(一 ) 不 公开 真实 姓名 住址 和 工作 单位 等 个 人 信息 ; 

(二 ) 采取 不 暴露 外 貌 、 真 实 声音 等 出 庭 作证 措施 ; 

(三 ) 禁止 特定 的 人 员 接 触 证 人 、 鉴 定 人 ,被害 人 及 其 近亲 属 ; 

(四 ) 对 人 身 和 住宅 采取 专门 性 保护 措施 ; 

(五 ) 其 他 必要 的 保护 措施 。 

证 人 、 鉴 定 人 、 被 害 人 认为 因 在 诉讼 中 作证 ,本 人 或 者 其 近亲 属 的 人 身 安全 面临 危险 的 ， 

可 以 向 人 民法 院 、 人 民 检 察 院 、 公 安 机 关 请 求 予以 保护 。 
人 民法 院 、 人 民 检 察 院 、 公 安 机 关 依 法 采取 保护 措施 ,有 关 单 位 和 个 人 应 当 配 合 。 
第 六 十 三 条 证 人 因 履 行 作证 义务 而 支出 的 交通 、 住 宿 .就 餐 等 费用 ,应 当 给 予 补助 。 
证 人 作证 的 补助 列 人 司法 机 关 业 务 经 费 , 由 同 级 政府 财政 予以 保障 。 

有 工作 单位 的 证 人 作证 ,所 在 单位 不 得 克扣 或 者 变相 克扣 其 工资 .奖金 及 其 他 福利 


第 二 编 “立案 、 侦 查 和 提起 公诉 
第 一 章 


一 章 立案 
第 一 百 零 七 条 ”公安 机 关 或 者 人 民 检察 院 发 现 犯罪 事实 或 者 犯罪 嫌疑 人 ,应 当 按 照管 
辖 范围 ,立案 侦查 。 
二 章 ”侦查 
第 一 节 “一般 规定 


第 一 百 一 十 三 条 ”公安 机 关 对 已 经 立案 的 刑事 案件 ,应当 进行 侦查 ,收集 、 调 取 犯 罪 嫌 
疑 人 有 罪 或 者 无 罪 . 罪 轻 或 者 罪 重 的 证 据 材 料 。 对 现行 犯 或 者 重大 嫌疑 分 子 可 以 依法 先行 
拘留 ,对 符合 逮捕 条 件 的 犯罪 嫌疑 人 ,应 当 依法 逮捕 。 

第 一 百 一 十 四 条 公安 机 关 经 过 侦查 ,对 有 证 据 证 明 有 犯罪 事实 的 案件 ,应 当 进 行 预 
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审 , 对 收集 、` 调 取 的 证 据 材 料 了 予以 核实 。 

第 一 百 一 十 五 条 ”当事人 和 辩护 人 、 诉 讼 代理 人 、 利 害 关系 人 对 于 司法 机 关 及 其 工作 人 
员 有 下 列 行 为 之 一 的 ,有 权 向 该 机 关 申 诉 或 者 控告 : 

(一 ) 采取 强制 措施 法 定期 限 届满 ,不 予以 释放 、 解 除 或 者 变更 的 ; 

(二 ) 应 当 退 还 取保 候审 保证 金 不 退还 的 ; 

(三 ) 对 与 案件 无 关 的 财物 采取 查封 .扣押 、 冻 结 措施 的 ; 

(四 ) 应 当 解 除 查 封 ` 扣 押 、 冻 结 不 解除 的 ; 

(五 ) 贪污 、 挪 用 、 私 分 .调换 .违反 规定 使 用 查封 扣押、 冻结 的 财物 的 。 

受理 申诉 或 者 控告 的 机 关 应 当 及 时 处 理 。 对 处 理 不 服 的 ,可 以 向 同 级 人 民 检 察 院 申诉 ; 
人 民 检 察 院 直 接受 理 的 案件 ,可 以 向 上 一 级 人 民 检 察 院 申 诉 。 人 民 检 察 院 对 申诉 应 当 及 时 
进行 审查 ,情况 属实 的 ,通知 有 关机 关 巴 以 纠正 。 

第 二 节 ”讯问 犯罪 嫌疑 人 

第 一 百 一 十 六 条 ”讯问 犯罪 嫌疑 人 必须 由 人 民 检 察 院 或 者 公安 机 关 的 侦查 人 员 负 责 进 
。 讯 问 的 时 候 , 侦 查 人 员 不 得 少 于 二 人 。 

犯罪 嫌疑 人 被 送 交 看 守 所 蜗 押 以 后 ,侦查 人 员 对 其 进行 讯问 ,应 当 在 看 守 所 内 进行 。 

第 一 百 一 十 七 条 “对 不 需要 逮捕 ,拘留 的 犯罪 嫌疑 人 ,可 以 传唤 到 犯罪 嫌疑 人 所 在 市 、 
县 内 的 指定 地 点 或 者 到 他 的 住处 进行 讯问 ,但 是 应 当 出 示人 民 检 察 院 或 者 公安 机 关 的 证 明 
文件 。 对 在 现场 发 现 的 犯罪 嫌疑 人 ,经 出 示 工 作证 件 ,可 以 口头 传唤 ,但 应 当 在 讯问 笔录 中 
注 明 。 

传唤 、 拘 传 持续 的 时 间 不 得 超过 十 二 小 时 ; 案情 特别 重大 、 复 杂 , 需 要 采取 拘留 .逮捕 措 
施 的 ,传唤 、 拘 传 持续 的 时 间 不 得 超过 二 十 四 小 时 。 

不 得 以 连续 传唤 、 拘 传 的 形式 变相 拘禁 犯罪 嫌疑 人 。 传 唤 、 拘 传 犯罪 嫌疑 人 ,应 当 保 证 
犯罪 嫌疑 人 的 饮食 和 必要 的 休息 时 间 。 

第 一 百 一 十 八条 ”侦查 人 员 在 讯问 犯罪 嫌疑 人 的 时 候 ,应 当 首先 讯问 犯罪 嫌疑 人 是 否 
有 犯罪 行为 ,让 他 陈述 有 罪 的 情节 或 者 无 罪 的 辩解 ,然后 向 他 提出 问题 。 犯 罪 嫌疑 人 对 侦查 
人 员 的 提问 ,应 当 如 实 回答 。 但 是 对 与 本 案 无 关 的 问题 ,有 拒绝 回答 的 权利 。 

侦查 人 员 在 讯问 犯罪 嫌疑 人 的 时 候 ,应 当 告 知 犯罪 嫌疑 人 如 实 供述 自己 罪行 可 以 从 宽 
处 理 的 法 律 规定 。 

第 一 百 一 十 九条 ”讯问 命 、 哑 的 犯罪 嫌疑 人 ,应 当 有 通晓 侮 、 哑 手势 的 人 参加 ,并 且 将 这 
种 情况 记 明 笔录 。 

第 一 百 二 十 条 ”讯问 笔录 应 当 交 犯罪 嫌疑 人 核对 ,对 于 没有 阅读 能 力 的 ,应 当 向 他 宣 
读 。 如 果 记 载 有 遗漏 或 者 差错 ,犯罪 嫌疑 人 可 以 提出 补充 或 者 改正 。 犯 罪 嫌 疑 人 承认 笔录 
没有 错误 后 ,应 当 签 名 或 者 盖 章 。 侦 查 人 员 也 应 当 在 笔录 上 签名 。 犯 罪 嫌 疑 人 请 求 自 行书 
写 供述 的 ,应 当 准 许 。 必 要 的 时 候 ,侦查 人 员 也 可 以 要 犯罪 嫌疑 人 亲笔 书写 供 词 。 

第 一 百 二 十 一 条 ”侦查 人 员 在 讯问 犯罪 嫌疑 人 的 时 候 , 可 以 对 讯问 过 程 进 行 录音 或 者 
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录像 ; 对 于 可 能 判处 无 期 徒刑 .死刑 的 案件 或 者 其 他 重大 犯罪 案件 ,应当 对 讯问 过 程 进 行 录 
音 或 者 录像 。 

录音 或 者 录像 应 当 全 程 进 行 ,保持 完整 性 。 

第 三 节 询问 证 人 

第 一 百 二 十 二 条 ”侦查 人 员 询 问 证 人 ,可 以 在 现场 进行 ,也 可 以 到 证 人 所 在 单位 、 住 处 
或 者 证 人 提出 的 地 点 进行 ,在 必要 的 时 候 , 可 以 通知 证 人 到 人 民 检 察 院 或 者 公安 机 关 提 供 证 
言 。 在 现场 询问 证 人 ,应 当 出 示 工 作证 件 ,到 证 人 所 在 单位 .住处 或 者 证 人 提出 的 地 点 询问 
证 人 ,应 当 出 示人 民 检察 院 或 者 公安 机 关 的 证 明文 件 。 

询问 证 人 应 当 个 别 进行 。 

第 一 百 二 十 三 条 ”询问 证 人 ,应 当 告知 他 应 当 如 实地 提供 证 据 、 证 言 和 有 意 作伪 证 或 者 
隐匿 罪证 要 负 的 法 律 责 任 。 

第 一 百 二 十 四 条 ”本 法 第 一 百 二 十 条 的 规定 ,也 适用 于 询问 证 人 。 

第 一 百 二 十 五 条 ”询问 被 害 人 ,适用 本 节 各 条 规定 。 

第 四 节 ” 勘 验 ,检查 

第 一 百 二 十 六 条 ”侦查 人 员 对 于 与 犯罪 有 关 的 场所 、 物 品 、 人 身 、 尸 体 应 当 进 行 勘 验 或 
者 检查 。 在 必要 的 时 候 ,可 以 指派 或 者 聘请 具有 专门 知识 的 人 ,在 侦查 人 员 的 主持 下 进行 勘 

第 一 百 二 十 七 条 ”任何 单位 和 个 人 ,都 有 义务 保护 犯罪 现场 ,并 且 立 即 通知 公安 机 关 泊 

第 一 百 二 十 八条 ”侦查 人 员 执 行 勘 验 、 检 查 ,必须 持 有 人 民 检 察 院 或 者 公安 机 关 的 证 明 
交 伯 : 

第 一 百 二 十 九条 ”对 于 死因 不 明 的 尸体 ,公安 机 关 有 权 决 定 解剖 ,并 且 通 知 死者 家 属 
到 场 。 

第 一 百 三 十 条 ”为 了 确定 被 害 人 、 犯 罪 嫌疑 人 的 某 些 特征 、 伤 害 情 况 或 者 生理 状态 ,可 
以 对 人 身 进 行 检查 ,可 以 提取 指纹 信息 ,采集 血液 . 尿 液 等 生物 样本 。 

犯罪 嫌疑 人 如 果 拒 绝 检查 ,侦查 人 员 认 为 必要 的 时 候 , 可 以 强制 检查 。 

检查 妇女 的 身体 ,应 当 由 女工 作 人 员 或 者 医师 进行 。 

第 一 百 三 十 一 条 ” 勤 验 ,检查 的 情况 应 当 写成 笔录 ,由 参加 勘 验 ,检查 的 人 和 见证 人 签 
名 或 者 盖 章 。 

第 一 百 三 十 二 条 ”人民 检 察 院 审查 案件 的 时 候 , 对 公安 机 关 的 勘 验 检查, 认为 需要 复 
验 、 复 查 时 ,可 以 要 求 公安 机 关 复 验 、 复 查 , 并 且 可 以 派 检察 人 员 参 加 。 

第 一 百 三 十 三 条 ”为 了 查 明 案 情 ,在 必要 的 时 候 , 经 公安 机 关 负 责 人 批准 ,可 以 进行 侦 
查实 验 。 

侦查 实验 的 情况 应 当 写 成 笔录 ,由 参加 实验 的 人 签名 或 者 盖 章 。 

侦查 实验 ,禁止 一 切 是 以 造成 危险 、 侮 辱 人 格 或 者 有 伤风 化 的 行为 。 
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第 五 节 搜查 

第 一 百 三 十 四 条 ”为 了 收集 犯罪 证 据 、 查 获 犯 罪人 ,侦查 人 员 可 以 对 犯罪 嫌疑 人 以 及 可 
能 隐藏 罪犯 或 者 犯罪 证 据 的 人 的 身体 、 物 品 、 住 处 和 其 他 有 关 的 地 方 进行 搜查 。 

第 一 百 三 十 五 条 任何 单位 和 个 人 ,有 义务 按照 人 民 检 察 院 和 公安 机 关 的 要 求 , 交 出 可 
以 证 明 犯 罪 嫌疑 人 有 罪 或 者 无 罪 的 物证 ,书证 、 视 听 资 料 等 证 据 。 

第 一 百 三 十 六 条 ”进行 搜查 ,必须 向 被 搜查 人 出 示 搜 查证 。 

在 执行 建 捕 、 拘 留 的 时 候 , 遇 有 紧急 情况 ,不 男 用 搜查 证 也 可 以 进行 搜查 。 

第 一 百 三 十 七 条 ”在 搜查 的 时 候 , 应 当 有 被 搜查 人 或 者 他 的 家 属 , 邻 居 或 者 其 他 见证 人 
在 场 。 

搜查 妇女 的 身体 ,应 当 由 女工 作 人 员 进 行 。 

第 一 百 三 十 八条 ”搜查 的 情况 应 当 写 成 笔录 ,由 侦查 人 员 和 被 搜查 人 或 者 他 的 家 属 , 邻 
居 或 者 其 他 见证 人 签名 或 者 盖 章 。 如 果 被 搜查 人 或 者 他 的 家 属 在 逃 或 者 拒绝 签名 、 盖 章 ,应 
当 在 笔录 上 注 明 。 

第 六 节 ”扣押 物证 \ 书 证 

第 一 百 三 十 九条 ”在 侦查 活动 中 发 现 的 可 用 以 证 明 犯 罪 嫌 疑 人 有 罪 或 者 无 罪 的 各 种 财 
物 \ 文 件 , 应 当 查封 ,扣押 :; 与 案件 无 关 的 财物 ,文件 ,不 得 查封 .扣押 。 

对 查封 ` 扣 押 的 财物 ,文件 ,要 妥善 保管 或 者 封存 ,不 得 使 用 、` 调 换 或 者 损毁 。 

第 一 百 四 十 条 ”对 查封 .扣押 的 财物 ,文件 ,应 当 会 同 在 场 见 证 人 和 被 查封 .扣押 财物 、 
文件 持 有 人 查 点 清楚 ,当场 开 列 清单 一 式 二 份 ,由 侦查 人 员 、 见 证 人 和 持 有 人 签名 或 者 盖 章 ， 
一 份 交 给 持 有 人 . 另 一 份 附 卷 备查 。 

第 一 百 四 十 一 条 ”侦查 人 员 认 为 需要 扣押 犯罪 嫌疑 人 的 邮件 .电报 的 时 候 , 经 公安 机 关 
或 者 人 民 检察 院 批准 , 即 可 通知 邮电 机 关 将 有 关 的 邮件 .电报 检 交 扣押 。 

不 需要 继续 扣押 的 时 候 , 应 即 通知 邮电 机 关 。 

第 一 百 四 十 二 条 ”人民 检 察 院 公安 机 关 根据 侦查 犯罪 的 需要 ,可 以 依照 规定 查询 、 冻 
结 犯 罪 嫌疑 人 的 存款 汇款、 债券 .股票 .基金 份额 等 财产 。 有 关 单 位 和 个 人 应 当 配 合 。 

犯罪 嫌疑 人 的 存款 汇款、 债券、 股票 ,基金 份额 等 财产 已 被 冻结 的 ,不 得 重复 冻结 。 

第 一 百 四 十 三 条 ”对 查封 .扣押 的 财物 ,文件 .邮件 .电报 或 者 冻结 的 存款 汇款、 债券 、 
股票 .基金 份额 等 财产 ,经 查 明确 实 与 案件 无 关 的 ,应当 在 三 日 以 内 解除 查封 .扣押 冻结, 予 
以 退还 。 

第 七 节 ”鉴定 

第 一 百 四 十 四 条 ”为 了 查 明 案情 .需要 解决 案件 中 某 些 专 门 性 问题 的 时 候 , 应 当 指 派 、 
聘请 有 专门 知识 的 人 进行 鉴定 。 

第 一 百 四 十 五 条 ”鉴定 人 进行 鉴定 后 .应 当 写 出 鉴定 意见 ,并 且 签 名 。 

鉴定 人 故意 作 虚 假 鉴定 的 ,应 当 承 担 法 律 责任 。 

第 一 百 四 十 六 条 ”侦查 机 关 应 当 将 用 作证 据 的 鉴定 意见 告知 犯罪 嫌疑 人 、 被 害 人 。 如 
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果 犯 罪 嫌疑 人 、 被 害 人 提出 申请 ,可 以 补充 鉴定 或 者 重新 鉴定 。 

第 一 百 四 十 七 条 对 犯罪 嫌疑 人 作 精 神 病 鉴定 的 期 间 不 计 人 办 案 期 限 。 

第 八 节 ”技术 侦察 措施 

第 一 百 四 十 八条 ”公安 机 关 在 立案 后 ,对 于 危害 国家 安全 犯罪 .恐怖 活动 犯罪 .黑社会 
性 质 的 组 织 犯 罪 、 重 大 毒品 犯罪 或 者 其 他 严重 危害 社会 的 犯罪 案件 ,根据 侦查 犯罪 的 需要 ， 
经 过 严格 的 批准 手续 ,可 以 采取 技术 侦查 措施 。 

人 民 检 察 院 在 立案 后 ,对 于 重大 的 贪污 .贿赂 犯罪 案件 以 及 利用 职权 实施 的 严重 侵犯 公 
民 人 身 权 利 的 重大 犯罪 案件 ,根据 侦查 犯罪 的 需要 ,经 过 严格 的 批准 手续 ,可 以 采取 技术 侦 
查 措施 ,按照 规定 交 有 关机 关 执 行 。 

追捕 被 通缉 或 者 批准 ,决定 逮捕 的 在 逃 的 犯罪 嫌疑 人 、 被 告 人 ,经 过 批准 ,可 以 采取 追捕 
所 必需 的 技术 侦查 措施 。 

第 一 百 四 十 九条 ”批准 决定 应 当 根据 侦查 犯罪 的 需要 ,确定 采取 技术 侦查 措施 的 种 类 
和 适用 对 象 。 批 准 决定 自 签发 之 日 起 三 个 月 以 内 有 效 。 对 于 不 需要 继续 采取 技术 侦查 措施 
的 ,应 当 及 时 解除 ; 对 于 复杂 、 疑 难 案件 ,期 限 届满 仍 有 必要 继续 采取 技术 侦查 措施 的 ,经 过 
批准 ,有 效 期 可 以 延长 ,每 次 不 得 超过 三 个 月 。 

第 一 百 五 十 条 ”采取 技术 侦查 措施 ,必须 严格 按照 批准 的 措施 种 类 、 适 用 对 象 和 期 限 
执行 


侦查 人 员 对 采取 技术 侦查 措施 过 程 中 知悉 的 国家 秘密 、 商 业 秘 密 和 个 人 隐私 ,应 当 保 
密 ; 对 采取 技术 侦查 措施 获取 的 与 案件 无 关 的 材料 ,必须 及 时 销毁 。 

采取 技术 侦查 措施 获取 的 材料 ,只 能 用 于 对 犯罪 的 侦查 ,起诉 和 审判 ,不 得 用 于 其 他 
用 途 。 

公安 机 关 依 法 采取 技术 侦查 措施 ,有 关 单 位 和 个 人 应 当 配合 ,并 对 有 关 情 况 予 以 保密 。 

第 一 百 五 十 一 条 ”为 了 查 明 案情 ,在 必要 的 时 候 ,经 公安 机 关 负 责 人 决定 ,可 以 由 有 关 
人 员 隐 匿 其 身份 实施 侦查 。 但 是 ,不 得 诱 使 他 人 犯罪 ,不 得 采用 可 能 危害 公共 安全 或 者 发 生 
重大 人 身 危 险 的 方法 。 

对 涉及 给 付 毒 品 等 违禁 品 或 者 财物 的 犯罪 活动 ,公安 机 关 根 据 侦查 犯罪 的 需要 ,可 以 依 
照 规定 实施 控制 下 交付 。 

第 一 百 五 十 二 条 ”依照 本 节 规 定 采取 侦查 措施 收集 的 材料 在 刑事 诉讼 中 可 以 作为 证 据 
使 用 。 如 果 使 用 该 证 据 可 能 危及 有 关 人 员 的 人 身 安 全 ,或 者 可 能 产生 其 他 严重 后 果 的 ,应 当 
采取 不 暴露 有 关 人 员 身 份 、 技 术 方法 等 保护 措施 ,必要 的 时 候 , 可 以 由 审判 人 员 在 庭 外 对 证 

第 九 节 ”通缉 

第 一 百 五 十 三 条 应当 逮捕 的 犯罪 嫌疑 人 如 果 在 逃 , 公 安 机 关 可 以 发 布 通缉 令 , 采 取 有 
效 措施 ,追捕 归案 。 

各 级 公安 机 关 在 自己 管辖 的 地 区 以 内 ,可 以 直接 发 布 通缉 令 ; 超出 自己 管辖 的 地 区 ,应 
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当 报请 有 权 决 定 的 上 级 机 关 发 布 。 

第 十 节 ”侦查 终结 

第 一 百 五 十 四 条 “对 犯罪 嫌疑 人 逮捕 后 的 侦查 晓 押 期 限 不 得 超过 二 个 月 。 案 情 复杂 、 
期 限 届满 不 能 终结 的 案件 ,可 以 经 上 一 级 人 民 检 察 院 批准 延长 一 个 月 。 

第 一 百 五 十 五 条 ”因为 特殊 原因 ,在 较 长 时 间 内 不 宜 交 付 审判 的 特别 重大 复杂 的 案件 ， 
由 最 高 人 民 检 察 院 报请 全 国人 民 代 表 大 会 常务 委员 会 批准 延期 审理 。 

第 一 百 五 十 六 条 ”下 列 案件 在 本 法 第 一 百 五 十 四 条 规定 的 期 限 届满 不 能 侦查 终结 的 ， 
经 省 .自治 区 直辖 市 人 民 检 察 院 批准 或 者 决定 ,可 以 延长 二 个 月 : 

(一 ) 交通 十 分 不 便 的 边远 地 区 的 重大 复杂 案件 ; 

(二 ) 重大 的 犯罪 集团 案件 ; 

(三 ) 流 定 作 案 的 重大 复杂 案件 ; 

(四 ) 犯罪 涉及 面 广 , 取 证 困难 的 重大 复杂 案件 。 

第 一 百 五 十 七 条 ”对 犯罪 嫌疑 人 可 能 判处 十 年 有 期 徒刑 以 上 刑罚 ,依照 本 法 第 一 百 五 
十 六 条 规定 延长 期 限 届满 , 仍 不 能 侦查 终结 的 ,经 省 、 自 治 区 、 直 辖 市 人 民 检 察 院 批准 或 者 决 
定 , 可 以 再 延长 二 个 月 。 

第 一 百 五 十 八条 “在 侦查 期 间 ,发 现 犯 罪 嫌疑 人 另 有 重要 罪行 的 ,自发 现 之 日 起 依照 本 
法 第 一 百 五 十 四 条 的 规定 重新 计算 侦查 晓 押 期 限 。 

犯罪 嫌疑 人 不 讲 真实 姓名 、 住 址 ,身份 不 明 的 ,应 当 对 其 身份 进行 调查 ,侦查 叮 押 期 限 自 
查 清 其 身份 之 日 起 计算 ,但 是 不 得 停止 对 其 犯罪 行为 的 侦查 取证 。 对 于 犯罪 事实 清楚 ,证据 
确实 、 充 分 ,确实 无 法 查 明 其 身份 的 ,也 可 以 按 其 自 报 的 姓名 起 诉 、 审 判 。 

第 一 百 五 十 九条 在 案件 侦查 终结 前 ,辩护 律师 提出 要 求 的 ,侦查 机 关 应 当 听取 辩护 律 
师 的 意见 ,并 记录 在 案 。 辩 护 律师 提出 书面 意见 的 ,应 当 附 卷 。 

第 一 百 六 十 条 ”公安 机 关 侦 查 终结 的 案件 ,应 当做 到 犯罪 事实 清楚 ,证 据 确实 、 充 分 ,并 
且 写 出 起 诉 意见 书 , 连 同 案卷 材料 .证 据 一 并 移送 同 级 人 民 检 察 院 审查 决定 ; 同时 将 案件 移 
送 情 况 告知 犯罪 嫌疑 人 及 其 辩护 律师 。 

第 一 百 六 十 一 条 ”在 侦查 过 程 中 ,发 现 不 应 对 犯罪 嫌疑 人 追究 刑事 责任 的 ,应 当 撤销 案 
件 ; 犯罪 嫌疑 人 已 被 逮捕 的 ,应 当 立 即 释 放 , 发 给 释放 证 明 , 并 且 通 知 原 批准 逮捕 的 人 民 检 

第 十 一 节 ”人 民 检 察 院 对 直接 受理 的 案件 的 侦查 

第 一 百 六 十 二 条 ”人 民 检 察 院 对 直接 受理 的 案件 的 侦查 适用 本 章 规定 。 

第 一 百 六 十 三 条 ”人 民 检 察 院 直接 受理 的 案件 中 符合 本 法 第 七 十 九条 、 第 八 十 条 第 四 
项 .第 五 项 规定 情形 ,需要 逮捕 、 拘 留 犯罪 嫌疑 人 的 ,由 人 民 检 察 院 作 出 决定 ,由 公安 机 关 
执行 。 

第 一 百 六 十 四 条 ”人 民 检 察 院 对 直接 受理 的 案件 中 被 拘留 的 人 ,应 当 在 拘留 后 的 二 十 
四 小 时 以 内 进行 讯问 。 在 发 现 不 应 当 拘留 的 时 候 , 必 须 立 即 释放 ,发 给 释放 证 明 。 
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第 一 百 六 十 五 条 人 民 检 察 院 对 直接 受理 的 案件 中 被 拘留 的 人 ,认为 需要 逮捕 的 ,应 当 
在 十 四 日 以 内 作出 决定 。 在 特殊 情况 下 ,决定 逮捕 的 时 间 可 以 延长 一 日 至 三 日 。 对 不 需要 
逮捕 的 ,应 当 立 即 释放 ; 对 需要 继续 侦查 ,并 且 符合 取保 候审 ,监视 居住 条 件 的 ,依法 取保 候 
审 或 者 监视 居住 。 

第 一 百 六 十 六 条 ”人 民 检 察 院 侦查 终结 的 案件 ,应 当 作出 提起 公诉 、 不 起 诉 或 者 撤销 案 
件 的 决定 。 

第 三 章 提起 公诉 

第 一 百 六 十 七 条 ” 凡 需 要 提起 公诉 的 案件 ,一 律 由 人 民 检 察 院 审查 决定 。 

第 一 百 六 十 八条 ”人 民 检 察 院 审 查 案件 的 时 候 , 必 须 查 明 : 

(一 ) 犯罪 事实 ,情节 是 否 清楚 ,证 据 是 否 确实 、 充 分 ,犯罪 性 质 和 罪名 的 认定 是 否 正 确 ; 

(二 ) 有 无 遗漏 罪行 和 其 他 应 当 追 究 刑事 责任 的 人 ; 

(三 ) 是 否 属于 不 应 追究 刑事 责任 的 ; 

(四 ) 有 无 附带 民事 诉讼 ; 

(五 ) 侦查 活动 是 否 合法 。 

第 一 百 六 十 九条 ”人民 检 察 院 对 于 公安 机 关 移 送 起 诉 的 案件 ,应 当 在 一 个 月 以 内 作出 
决定 ,重大 ,复杂 的 案件 ,可 以 延长 半 个 月 。 

人 民 检 察 院 审查 起 诉 的 案件 ,改变 管辖 的 ,从 改变 后 的 人 民 检 察 院 收 到 案件 之 日 起 计算 
审查 起 诉 期 限 。 

第 一 百 七 十 条 “人民 检 察 院 审查 案件 ,应当 讯问 犯罪 嫌疑 人 ,听取 辩护 人 、 被 害 人 及 其 
诉讼 代理 人 的 意见 ,并 记录 在 案 。 辨 护 人 、 被 害 人 及 其 诉讼 代理 人 提出 书面 意见 的 ,应 当 
附 卷 。 

第 一 百 七 十 一 条 ”人 民 检 察 院 审 查 案件 ,可 以 要 求 公安 机 关 提供 法 庭审 判 所 必需 的 证 
据 材 料 ; 认为 可 能 存在 本 法 第 五 十 四 条 规定 的 以 非法 方法 收集 证 据 情形 的 ,可 以 要 求 其 对 
证 据 收集 的 合法 性 作出 说 明 。 

人 民 检 察 院 审查 案件 ,对 于 需要 补充 侦查 的 ,可 以 退回 公安 机 关 补 充 侦查 ,也 可 以 自行 
侦查 。 

对 于 补充 侦查 的 案件 ,应 当 在 一 个 月 以 内 补充 侦查 完毕 。 补 充 侦 查 以 二 次 为 限 。 补 充 
侦查 完毕 移送 人 民 检 察 院 后 ,人 民 检 察 院 重新 计算 审查 起 诉 期 限 。 

对 于 二 次 补充 侦查 的 案件 ,人 民 检 察 院 仍然 认为 证 据 不 足 , 不 符合 起 诉 条 件 的 ,应 当 作 
出 不 起 诉 的 决定 。 

第 一 百 七 十 二 条 “人民 检 察 院 认为 犯罪 嫌疑 人 的 犯罪 事实 已 经 查 清 , 证 据 确实 \ 充 分 ， 
依法 应 当 追 究 刑事 责任 的 ,应 当 作出 起 诉 决定 ,按照 审判 管辖 的 规定 ,向 人 民法 院 提起 公诉 ， 
并 将 案卷 材料 .证 据 移送 人 民法 院 。 

第 一 百 七 十 三 条 ”犯罪 嫌疑 人 没有 犯罪 事实 ,或 者 有 本 法 第 十 五 条 规定 的 情形 之 一 的 ， 
人 民 检 察 院 应 当 作出 不 起 诉 决定 。 
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对 于 犯罪 情节 轻微 ,依照 刑法 规定 不 需要 判处 刑罚 或 者 免除 刑罚 的 ,人 民 检 察 院 可 以 作 
出 不 起 诉 决定 。 

人 民 检 察 院 决定 不 起 诉 的 案件 ,应 当 同 时 对 侦查 中 查封 .扣押 、 冻 结 的 财物 解除 查封 . 扣 
押 、 冻 结 。 对 被 不 起 诉 人 需要 给 予 行 政 处 罚 ,行政 处 分 或 者 需要 没收 其 违法 所 得 的 ,人 民 检 
察 院 应 当 提 出 检察 意见 ,移送 有 关 主 管 机 关 处 理 。 有 关 主 管 机 关 应 当 将 处 理 结果 及 时 通知 
人 民 检 察 院 。 

第 一 百 七 十 四 条 ”不 起 诉 的 决定 ,应 当 公 开 宣 布 ,并 且 将 不 起 诉 决定 书 送 达 被 不 起 诉 人 
和 他 的 所 在 单位 。 如 果 被 不 起 诉 人 在 押 , 应 当 立 即 释放 。 

第 一 百 七 十 五 条 ”对 于 公安 机 关 移 送 起 诉 的 案件 ,人 民 检 察 院 决定 不 起 诉 的 ,应 当 将 不 
起 诉 决定 书 送 达 公 安 机 关 。 公 安 机 关 认 为 不 起 诉 的 决定 有 错误 的 时 候 , 可 以 要 求 复议 ,如 果 
意见 不 被 接受 ,可 以 向 上 一 级 人 民 检 察 院 提请 复核 。 

第 一 百 七 十 六 条 ”对 于 有 被 害 人 的 案件 ,决定 不 起 诉 的 ,人 民 检 察 院 应 当 将 不 起 诉 决定 
书 送 达 被 害 人 。 被 害 人 如 果 不 服 ,可 以 自 收 到 决定 书后 七 日 以 内 向 上 一 级 人 民 检 察 院 申诉 ， 
请 求 提 起 公诉 。 人 民 检 察 院 应 当 将 复查 决定 告知 被 害 人 。 对 人 民 检 察 院 维持 不 起 诉 决定 
的 ,被 害 人 可 以 向 人 民法 院 起 诉 。 被 害 人 也 可 以 不 经 申诉 ,直接 向 人 民法 院 起 诉 。 人 民法 院 
受理 案件 后 ,人 民 检 察 院 应 当 将 有 关 案 件 材料 移送 人 民法 院 。 

第 一 百 七 十 七 条 对 于 人 民 检 察 院 依照 本 法 第 一 百 七 十 三 条 第 二 款 规 定 作出 的 不 起 诉 
决定 ,被 不 起 诉 人 如 果 不 服 , 可 以 自 收 到 决定 书后 七 日 以 内 向 人 民 检 察 院 申 诉 。 人 民 检 察 院 
应 当 作出 复查 决定 ,通知 被 不 起 诉 的 人 ,同时 抄 送 公 安 机 关 。 

第 六 编 ” 附 则 

第 二 百 九 十 条 ”军队 保卫 部 门 对 军队 内 部 发 生 的 刑事 案件 行使 侦查 权 。 

对 罪犯 在 监狱 内 犯罪 的 案件 由 监狱 进行 侦查 。 

军队 保卫 部 门 ,监狱 办 理 刑 事 案件 ,适用 本 法 的 有 关 规 定 。 


附录 5 最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 
国 刑事 诉讼 法 》 的 解释 (节选 ) 


法 释 [2012]21 号 
《最 高 人 民法 院 关 于 适用 (中 华人 民 共 和 国 刑事 诉讼 法 ) 的 解释 ) 已 于 2012 年 11 月 5 日 
由 最 高 人 民法 院 审判 委员 会 第 1559 次 会 议 通过 , 现 予 公布 , 自 2013 年 1 月 1 日 起 施行 。 
最 高 人 民法 院 
2012 年 12 月 20 日 


第 二 条 ”犯罪 地 包括 犯罪 行为 发 生地 和 犯罪 结果 发 生地 。 
针对 或 者 利用 计算 机 网 络 实施 的 犯罪 ,犯罪 地 包括 犯罪 行为 发 生地 的 网 站 服务 器 所 在 
地 ,网 络 接 人 地 ,网 站 建立 者 、 管 理 者 所 在 地 ,被 侵害 的 计算 机 信息 系统 及 其 管理 者 所 在 地 ， 
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被 告 人 、 被 害 人 使 用 的 计算 机 信息 系统 所 在 地 ,以 及 被 害 人 财产 遭受 损失 地 。 

第 九 十 三 条 ”对 电子 邮件 、 电 子 数据 交换 、 网 上 聊天 记录 博客 、 微 博客 、 手 机 短信 ,电子 
签名 域名 等 电子 数据 ,应 当 着 重审 查 以 下 内 容 : 

(一 ) 是 否 随 原始 存储 介质 移送 ; 在 原始 存储 介质 无 法 封存 .不 便 移 动 或 者 依法 应 当 由 
有 关 部 门 保管 ,处 理 . 返 还 时 ,提取 、 复 制 电子 数据 是 否 由 二 人 以 上 进行 ,是 否 足 以 保证 电子 
数据 的 完整 性 ,有 无 提取 、 复 制 过程 及 原始 存储 介质 存放 地 点 的 文字 说 明和 签名 ; 

(二 ) 收集 程序 ,方式 是 否 符合 法 律 及 有 关 技 术 规 范 ; 经 勘 验 检查 、 搜 查 等 侦查 活动 收 
集 的 电子 数据 ,是 否 附 有 笔录 、 清 单 ,并 经 侦查 人 员 、 电 子 数据 持 有 人 、 见 证 人 签名 ; 没有 持 
有 人 签名 的 ,是 否 注 明 原因 ; 远程 调 取 境外 或 者 异地 的 电子 数据 的 ,是 否 注 明 相关 情况 ; 对 
电子 数据 的 规格 、 类 别 、 文 件 格式 等 注 明 是 否 清楚 ; 

(三 ) 电子 数据 内 容 是 否 真实 ,有 无 删除 ,修改 、 增 加 等 情形 ; 

(四 ) 电子 数据 与 案件 事实 有 无 关联 ; 

(五 ) 与 案件 事实 有 关联 的 电子 数据 是 否 全 面 收集 。 

对 电子 数据 有 疑问 的 ,应 当 进 行 鉴定 或 者 检验 。 

第 九 十 四 条 ”视听 资料 .电子 数据 具有 下 列 情形 之 一 的 ,不 得 作为 定案 的 根据 : 

(一 ) 经 审查 无 法 确定 真 伪 的 ; 

(二 ) 制作 、 取 得 的 时 间 、 地 点 ,方式 等 有 疑问 ,不 能 提供 必要 证 明 或 者 作出 合理 解释 的 。 


附录 6 ”中华 人民 共 和 国治 安 管理 处 罚 法 (节选 ) 


(2005 年 8 月 28 日 第 十 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 七 次 会 议 通过 ”2005 年 
8 月 28 日 中 华人 民 共 和 国 主席 令 第 三 十 八 号 公布 自 2006 年 3 月 1 日 起 施行 根据 2012 
年 10 月 26 日 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 第 二 十 九 次 会 议 通 过 2012 年 10 月 
26 日 中 华人 民 共 和 国 主席 令 第 67 号 公布 自 2013 年 1 月 1 日 起 施行 的 (全 国人 民 代 表 大 
会 常务 委员 会 关于 修改 (中 华人 民 共 和 国治 安 管 理 处 罚 法 ) 的 决定 ) 修 正 ) 

第 二 十 九条 有 下 列 行为 之 一 的 ,处 五 日 以 下 拘留 ; 情节 较 重 的 ,处 五 日 以 上 十 日 以 下 
拘留 : 

(一 ) 违反 国家 规定 ,侵入 计算 机 信息 系统 ,造成 危害 的 ; 

(二 ) 违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 、 修 改 \、 增 加 干扰 ,造成 计算 机 信 
息 系统 不 能 正常 运行 的 ; 

(三 ) 违反 国家 规定 ,对 计算 机 信息 系统 中 存储 处理、 传输 的 数据 和 应 用 程序 进行 删 
除 \ 修 改 、 增 加 的 ; 

(四 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 .影响 计算 机 信息 系统 正常 运行 的 。 
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附录 7 关于 办 理 网 络 犯罪 案件 适用 刑事 诉讼 
程序 若干 问题 的 意见 


公 通 字 [2014]10 号 

各 省 .自治 区 .直辖 市 高 级 人 民法 院 , 人 民 检 察 院 , 公 安 厅 、 局 ,新 疆 维 寿 尔 自治 区 高 级 人 
民法 院 生产 建设 兵团 分 院 , 新 疆 生 产 建设 兵团 人 民 检 察 院 、 公 安 局 : 

为 解决 近年 来 公安 机 关 、 人 民 检 察 院 人 民法 院 在 办 理 网 络 犯罪 案件 中 遇 到 的 新 情况 、 
新 问题 ,依法 惩治 网 络 犯罪 活动 ,根据 (中 华人 民 共 和 国 刑法 》《 中 华人 民 共 和 国 刑事 诉讼 
法 ) 及 有 关 司 法 解释 的 规定 ,结合 侦查 、 起 诉 、 审 判 实践 , 现 就 办 理 网 络 犯 罪案 件 适用 刑事 诉 
讼 程序 问题 提出 以 下 意见 : 

一 、 关 于 网 络 犯罪 案件 的 范围 

1. 本 意见 所 称 网 络 犯罪 案件 包括 : 

(1) 危害 计算 机 信息 系统 安全 犯罪 案件 ; 

(2) 通过 危害 计算 机 信息 系统 安全 实施 的 盗窃 .诈骗 .敲诈 勒索 等 犯罪 案件 ; 

(3) 在 网 络 上 发 布 信息 或 者 设立 主要 用 于 实施 犯罪 活动 的 网 站 、 通 讯 群 组 ,针对 或 者 组 
织 ` 教 唆 、 帮 助 不 特定 多 数 人 实施 的 犯罪 案件 ; 

(4) 主要 犯罪 行为 在 网 络 上 实施 的 其 他 案件 。 

二 、 关 于 网 络 犯罪 案件 的 管辖 

2. 网 络 犯罪 案件 由 犯罪 地 公安 机 关 立 案 侦查 。 必 要 时 ,可 以 由 犯罪 嫌疑 人 居住 地 公安 
机 关 立 案 侦 查 。 

网 络 犯罪 案件 的 犯罪 地 包括 用 于 实施 犯罪 行为 的 网 站 服务 器 所 在 地 ,网 络 接 入 地 ,网 站 
建立 者 \ 管 理 者 所 在 地 ,被 侵害 的 计算 机 信息 系统 或 其 管理 者 所 在 地 ,犯罪 嫌疑 人 、 被 害 人 使 
用 的 计算 机 信息 系统 所 在 地 ,被 害 人 被 侵害 时 所 在 地 ,以 及 被 害 人 财产 遭受 损失 地 等 。 

涉及 多 个 环节 的 网 络 犯罪 案件 ,犯罪 嫌疑 人 为 网 络 犯罪 提供 帮助 的 ,其 犯罪 地 或 者 居住 
地 公安 机 关 可 以 立案 侦查 。 

3. 有 多 个 犯罪 地 的 网 络 犯罪 案件 ,由 最 初 受 理 的 公安 机 关 或 者 主要 犯罪 地 公安 机 关 立 
案 侦查 。 有 争议 的 ,按照 有 利于 查 清 犯 罪 事实 、 有 利于 诉讼 的 原则 ,由 共同 上 级 公安 机 关 指 
定 有 关公 安 机 关 立 案 侦查 。 需 要 提请 批准 逮捕 、 移 送审 查 起 诉 、 提 起 公诉 的 ,由 该 公安 机 关 
所 在 地 的 人 民 检 察 院 、 人 民法 院 受 理 。 

4. 具有 下 列 情形 之 一 的 ,有 关公 安 机关 可 以 在 其 职责 范围 内 并 案 侦查 .需要 提请 批准 
逮捕 、 移 送审 查 起 诉 、 提 起 公诉 的 ,由 该 公安 机 关 所 在 地 的 人 民 检 察 院 ` 人 民法 院 受理 

(1) 一 人 犯 数 罪 的 ; 

(2) 共同 犯罪 的 ; 
(3) 共同 犯罪 的 犯罪 嫌疑 人 、 被 告 人 还 实施 其 他 犯罪 的 ; 


辣 
辣 
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(4) 多 个 犯罪 嫌疑 人 、 被 告 人 实施 的 犯罪 存在 关联 ,并 案 处 理 有 利于 查 明 案件 事实 的 。 

5. 对 因 网 络 交易 .技术 支持 、 资 金 支付 结算 等 关系 形成 多 层级 链条 、 跨 区 域 的 网 络 犯罪 
案件 ,共同 上 级 公安 机 关 可 以 按照 有 利于 查 清 犯罪 事实 、 有 利于 诉讼 的 原则 ,指定 有 关公 安 
机 关 一 并 立案 侦查 ,需要 提请 批准 建 捕 、 移 送审 查 起 诉 、 提 起 公诉 的 ,由 该 公安 机 关 所 在 地 的 
人 民 检 察 院 ` 人 民法 院 受 理 。 

6. 具有 特殊 情况 ,由 异地 公安 机 关 立 案 侦查 更 有 利于 查 清 犯 罪 事实 、 保 证 案件 公正 处 
理 的 跨 省 (自治 区 直辖市) 重大 网 络 犯罪 案件 ,可 以 由 公安 部 商 最 高 人 民 检 察 院 和 最 高 人 民 
法 院 指定 管辖 。 

7. 人 民 检 察 院 对 于 公安 机 关 移送 审查 起 诉 的 网 络 犯罪 案件 ,发 现 犯罪 嫌疑 人 还 有 犯罪 
被 其 他 公安 机 关 立 案 侦查 的 ,应 当 通知 移送 审查 起 诉 的 公安 机 关 。 

人 民法 院 受 理 案件 后 ,发 现 被 告 人 还 有 犯罪 被 其 他 公安 机 关 立 案 侦查 的 ,可 以 建议 人 民 
检察 院 补充 侦查 。 人 民 检 察 院 经 审查 ,认为 需要 补充 侦查 的 ,应 当 通 知 移送 审查 起 诉 的 公安 

经 人 民 检 察 院 通知 ,有 关公 安 机 关 根 据 案件 具体 情况 ,可 以 对 犯罪 嫌疑 人 所 犯 其 他 犯罪 
并 案 侦 查 。 

8. 为 保证 及 时 结案 ,避免 超期 串 押 ,人 民 检察 院 对 于 公安 机 关 提请 批准 逮捕 、 移 送审 查 
起 诉 的 网 络 犯罪 案件 ,第 一 审 人 民法 院 对 于 已 经 受理 的 网 络 犯罪 案件 ,经 审查 发 现 没 有 管辖 
权 的 ,可 以 依法 报请 共同 上 级 人 民 检 察 院 `. 人 民法 院 指定 管辖 。 

9. 部 分 犯罪 嫌疑 人 在 逃 ,但 不 影响 对 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 的 犯罪 事实 认定 
的 网 络 犯 罪案 件 , 可 以 依法 先行 追究 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 的 刑事 责任 。 在 逃 的 共 
同 犯罪 嫌疑 人 、 被 告 人 归案 后 ,可 以 由 原 公安 机 关 、 人 民 检 察 院 、 人 民法 院 管辖 其 所 涉及 的 
案件 。 

三 、 关 于 网 络 犯罪 案件 的 初 查 

10. 对 接受 的 案件 或 者 发 现 的 犯罪 线索 ,在 审查 中 发 现 案件 事实 或 者 线索 不 明 , 需 要 经 
过 调查 才能 够 确认 是 否 达 到 犯罪 追诉 标准 的 ,经 办 案 部 门 负 责 人 批准 ,可 以 进行 初 查 。 

初 查 过 程 中 ,可 以 采取 询问 、 查 询 、 勘 验 、 检 查 、 鉴 定 、 调 取证 据 材 料 等 不 限制 初 查 对 象 人 
身 、 财 产权 利 的 措施 ,但 不 得 对 初 查 对 象 采取 强制 措施 和 查封 扣押、 冻结 财产 。 

四 、 关 于 网 络 犯罪 案件 的 跨 地 域 取 证 

11. 公安 机 关 跨 地 域 调查 取证 的 ,可 以 将 办 案 协 作 函 和 相关 法 律 文书 及 凭证 电 传 或 者 
通过 公安 机 关 信 息 化 系统 传输 至 协作 地 公安 机 关 。 协 作 地 公安 机 关 经 审查 确认 ,在 传 来 的 
法 律 文书 上 加 盖 本 地 公安 机 关 印 章 后 ,可 以 代为 调查 取证 。 

12. 询 ( 讯 ) 问 异地 证 人 、 被 害 人 以 及 与 案件 有 关联 的 犯罪 嫌疑 人 的 ,可 以 由 办 案 地 公安 
机 关 通 过 远程 网 络 视频 等 方式 进行 询 ( 讯 ) 问 并 制作 笔录 。 

远程 询 ( 讯 ) 问 的 ,应 当 由 协作 地 公安 机 关 事先 核实 被 询 ( 讯 ) 问 人 的 身份 。 办 案 地 公安 
机 关 应 当 将 询 ( 讯 ) 问 笔录 传输 至 协作 地 公安 机 关 。 询 ( 讯 ) 问 笔录 经 被 询 ( 讯 ) 问 人 确认 并 逐 
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页 签名 、 捧 指 印 后 .由 协作 地 公安 机 关 协 作 人 员 签 名 或 者 盖 章 ,并 将 原件 提供 给 办 案 地 公安 
机 关 。 询 ( 讯 ) 问 人 员 收 到 笔录 后 ,应 当 在 首页 右上 方 写 明 * 于 某 年 某 月 某 日 收 到 ”, 并 签名 或 

远程 询 ( 讯 ) 问 的 ,应 当 对 询 ( 讯 ) 问 过 程 进行 录音 录像 ,并 随 案 移送 。 

异地 证 人 、 被 害 人 以 及 与 案件 有 关联 的 犯罪 嫌疑 人 亲笔 书写 证 词 、 供 词 的 ,参照 本 条 第 
二 款 规定 执行 。 

五 、 关 于 电子 数据 的 取证 与 审查 

13. 收集 、 提 取 电 子 数据 ,应 当 由 二 名 以 上 具备 相关 专业 知识 的 侦查 人 员 进 行 。 取 证 设 
备 和 过 程 应 当 符 合 相关 技术 标准 ,并 保证 所 收集 、 提 取 的 电子 数据 的 完整 性 .客观 性 。 

14. 收集 、 提 取 电 子 数据 ,能 够 获取 原始 存储 介质 的 ,应 当 封 存 原始 存储 介质 ,并 制作 笔 
录 , 记 录 原 始 存储 介质 的 封存 状态 ,由 侦查 人 员 、 原 始 存储 介质 持 有 人 签名 或 者 盖 章 ; 持 有 
人 无 法 签名 或 者 拒绝 签名 的 ,应 当 在 笔录 中 注 明 , 由 见证 人 签名 或 者 盖 章 。 有 条 件 的 ,侦查 
人 员 应 当 对 相关 活动 进行 录像 。 

15. 具有 下 列 情形 之 一 ,无 法 获取 原始 存储 介质 的 ,可 以 提取 电子 数据 ,但 应 当 在 笔录 
中 注 明 不 能 获取 原始 存储 介质 的 原因 、 原 始 存 储 介 质 的 存放 地 点 等 情况 ,并 由 侦查 人 员 、 电 
子 数据 持 有 人 、 提 供 人 签名 或 者 盖 章 ;， 持 有 人 、 提 供 人 无 法 签名 或 者 拒绝 签名 的 ,应 当 在 笔 
录 中 注 明 ,由 见证 人 签名 或 者 盖 章 ; 有 条 件 的 ,侦查 人 员 应 当 对 相关 活动 进行 录像 : 

(1) 原始 存储 介质 不 便 封存 的 ; 

(2) 提取 计算 机 内 存 存储 的 数据 、 网 络 传输 的 数据 等 不 是 存储 在 存储 介质 上 的 电子 数 
据 的 ; 

(3) 原始 存储 介质 位 于 境外 的 ; 

(4) 其 他 无 法 获取 原始 存储 介质 的 情形 。 

16. 收集 .提取 电子 数据 应 当 制 作 笔录 ,记录 案由 、 对 象 .内 容 , 收 集 、 提 取 电 子 数 据 的 时 
间 、 地 点 方法. 过程 ,电子 数据 的 清单 .规格 类别、 文件 格式 、 完 整 性 校 验 值 等 ,并 由 收集 、 提 
取 电 子 数据 的 侦查 人 员 签 名 或 者 盖 章 。 远 程 提取 电子 数据 的 ,应 当 说 明 原 因 , 有 条 件 的 ,应 
当 对 相关 活动 进行 录像 。 通 过 数据 恢复 、 破 解 等 方式 获取 被 删除 、 隐 藏 或 者 加 密 的 电子 数据 
的 ,应 当 对 恢复 、 破 解 过 程 和 方法 作出 说 明 。 

17. 收集 ,提取 的 原始 存储 介质 或 者 电子 数据 ,应 当 以 封存 状态 随 案 移送 ,并 制作 电子 
数据 的 复制 件 一 并 移送 。 

对 文档 、 图 片 、 网 页 等 可 以 直接 展示 的 电子 数据 ,可 以 不 随 案 移 送 电 子 数据 打印 件 , 但 应 
当 附 有 展示 方法 说 明和 展示 工具 ; 人 民法 院 、 人 民 检 察 院 因 设备 等 条 件 限制 无 法 直接 展示 
电子 数据 的 ,公安 机 关 应 当 随 案 移 送 打印 件 。 

对 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 以 及 计算 机 病毒 等 无 法 直接 展示 的 电子 
数据 ,应 当 附 有 电子 数据 属性 、 功 能 等 情况 的 说 明 。 

对 数据 统计 数量 .数据 同一 性 等 问题 ;公安 机 关 应 当 出 具 说 明 。 
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18. 对 电子 数据 涉及 的 专门 性 问题 难以 确定 的 ,由 司法 鉴定 机 构 出 具 鉴定 意见 ,或 者 由 
公安 部 指定 的 机 构 出 具 检 验 报告 。 

六 、 关 于 网 络 犯罪 案件 的 其 他 问题 

19. 采取 技术 侦查 措施 收集 的 材料 作为 证 据 使 用 的 ,应 当 随 案 移送 批准 采取 技术 侦查 
措施 的 法 律 文 书 和 所 收集 的 证 据 材 料 。 使 用 有 关 证 据 材 料 可 能 危及 有 关 人 员 的 人 身 安全 ， 
或 者 可 能 产生 其 他 严重 后 果 的 ,应 当 采 取 不 暴露 有 关 人 员 身 份 、 技 术 方 法 等 保护 措施 ,必要 
时 ,可 以 由 审判 人 员 在 庭 外 进行 核实 。 

20. 对 针对 或 者 组 织 、 教 唆 、 帮 助 不 特定 多 数 人 实施 的 网 络 犯罪 案件 , 确 因 客观 条 件 限 
制 无 法 逐一 收集 相关 言词 证 据 的 ,可 以 根据 记录 被 害 人 数 、 被 侵害 的 计算 机 信息 系统 数量 、 
涉案 资金 数额 等 犯罪 事实 的 电子 数据 ,书证 等 证 据 材 料 , 在 慎重 审查 被 告 人 及 其 辩护 人 所 提 
辩解 .辩护 意见 的 基础 上 ,综合 全 案 证 据 材 料 , 对 相关 犯罪 事实 作出 认定 。 


附录 8 最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 危 害 
计算 机 信息 系统 安全 刑事 案件 应 用 法 律 若干 问题 的 解释 


(2011 年 6 月 20 日 最 高 人 民法 院 审 判 委 员 会 第 1524 次 会 议 .2011 年 7 月 11 日 最 高 人 
民 检 察 院 第 十 一 届 检 察 委 员 会 第 63 次 会 议 通过 ) 

为 依法 惩治 危害 计算 机 信息 系统 安全 的 犯罪 活动 ,根据 (中 华人 民 共 和 国 刑法 》《 全 国 
人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》 的 规定 , 现 就 办 理 这 类 刑事 案件 应 用 
法 律 的 若干 问题 解释 如 下 : 

第 一 条 ”非法 获取 计算 机 信息 系统 数据 或 者 非法 控制 计算 机 信息 系统 ,具有 下 列 情形 
之 一 的 ,应 当 认 定 为 刑法 第 二 百 八 十 五 条 第 二 款 规 定 的 “情节 严重 ”; 

(一 ) 获取 支付 结算 .证 券 交易 .期货 交易 等 网 络 金融 服务 的 身份 认证 信息 十 组 以 上 的 ; 

(二 ) 获取 第 (一 ) 项 以 外 的 身份 认证 信息 五 百 组 以 上 的 ; 

(三 ) 非法 控制 计算 机 信息 系统 二 十 台 以 上 的 ; 

(四 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(五 ) 其 他 情节 严重 的 情形 。 

实施 前 款 规定 行为 ,具有 下 列 情 形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 八 十 五 条 第 二 款 规 定 
的 “情节 特别 严重 ”: 

(一 ) 数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (四 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 其 他 情节 特别 严重 的 情形 。 

明知 是 他 人 非法 控制 的 计算 机 信息 系统 ,而 对 该 计算 机 信息 系统 的 控制 权 加 以 利用 的 ， 
依照 前 两 款 的 规定 定罪 处 罚 。 

第 二 条 ”具有 下 列 情形 之 一 的 程序 、 工 具 , 应 当 认 定 为 刑法 第 二 百 八 十 五 条 第 三 款 规 定 
的 “专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ”: 
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(一 ) 具有 避 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ,未 经 授权 或 者 超越 授权 获取 计 
算 机 信息 系统 数据 的 功能 的 ; 

(二 ) 具有 避 开 或 者 突破 计算 机 信息 系统 安全 保护 措施 ,未 经 授权 或 者 超越 授权 对 计算 
机 信息 系统 实施 控制 的 功能 的 ; 

(三 ) 其 他 专门 设计 用 于 侵入 、 非 法 控制 计算 机 信息 系统 、 非 法 获取 计算 机 信息 系统 数 
据 的 程序 、 工 具 。 

第 三 条 ”提供 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 ,具有 下 列 情 形 之 一 的 ,应 当 
认定 为 刑法 第 二 百 八 十 五 条 第 三 款 规定 的 “情节 严重 ”: 

(一 ) 提供 能 够 用 于 非法 获取 支付 结算 、 证 券 交 易 、 期 货 交易 等 网 络 金融 服务 身份 认证 
信息 的 专门 性 程序 .工具 五 人 次 以 上 的 ; 

(二 ) 提供 第 (一 ) 项 以 外 的 专门 用 于 侵入 ,非法 控制 计算 机 信息 系统 的 程序 .工具 二 十 
人 次 以 上 的 ; 

(三 ) 明知 他 人 实施 非法 获取 支付 结算 、 证 券 交易 、 期 货 交 易 等 网 络 金融 服务 身份 认证 
信息 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 五 人 次 以 上 的 ; 

(四 ) 明知 他 人 实施 第 (三 ) 项 以 外 的 侵入 ,非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 
为 其 提供 程序 .工具 二 十 人 次 以 上 的 ; 

(五 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(六 ) 其 他 情节 严重 的 情形 。 

实施 前 款 规 定 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 提供 侵入 ,非法 控制 计算 机 信息 
系统 的 程序 .工具 “情节 特别 严重 ”: 

(一 ) 数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (五 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 其 他 情节 特别 严重 的 情形 。 

第 四 条 ”破坏 计算 机 信息 系统 功能 、 数 据 或 者 应 用 程序 ,具有 下 列 情形 之 一 的 ,应 当 认 
定 为 刑法 第 二 百 八 十 六 条 第 一 款 和 第 二 款 规 定 的 “后 果 严 重 ”: 

(一 ) 造成 十 台 以 上 计算 机 信息 系统 的 主要 软件 或 者 硬件 不 能 正常 运行 的 

(二 ) 对 二 十 台 以 上 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 进行 删除 .修改 .增加 
操作 的 ; 

(三 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(四 ) 造成 为 一 百 台 以 上 计算 机 信息 系统 提供 域名 解析 、 身 份 认 证 、 计 费 等 基础 服务 或 
者 为 一 万 以 上 用 户 提 供 服 务 的 计算 机 信息 系统 不 能 正常 运行 累计 一 小 时 以 上 的 

(五 ) 造成 其 他 严重 后 果 的 。 

实施 前 款 规定 行为 ,具有 下 列 情 形 之 一 的 ,应 当 认 定 为 破坏 计算 机 信息 系统 "后果 特 别 
严重 ”: 

(一 ) 数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (三 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 造成 为 五 百 台 以 上 计算 机 信息 系统 提供 域名 解析 、 身 份 认证 、. 计 费 等 基础 服务 或 
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者 为 五 万 以 上 用 户 提供 服务 的 计算 机 信息 系统 不 能 正常 运行 累计 一 小 时 以 上 的 ; 

(三 ) 破坏 国家 机 关 或 者 金融 、 电 信 、 交 通 、 教 育 、 医 疗 、 能 源 等 领域 提供 公共 服务 的 计算 
机 信息 系统 的 功能 、 数 据 或 者 应 用 程序 ,致使 生产 、 生 活 受 到 严重 影响 或 者 造成 恶劣 社会 影 
响 的 ; 

(四 ) 造成 其 他 特别 严重 后 果 的 。 

第 五 条 ”具有 下 列 情形 之 一 的 程序 ,应 当 认 定 为 刑法 第 二 百 八 十 六 条 第 三 款 规定 的 * 计 
算 机 病毒 等 破坏 性 程序 ”: 

(一 ) 能 够 通过 网 络 、 存 储 介质 、 文 件 等 媒介 ,将 自身 的 部 分 、 全 部 或 者 变种 进行 复制 \ 传 
播 ,并 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 的 ; 

(二 ) 能 够 在 预先 设 定 条 件 下 自动 触发 ,并 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 的 ; 

(三 ) 其 他 专门 设计 用 于 破坏 计算 机 系统 功能 、 数 据 或 者 应 用 程序 的 程序 。 

第 六 条 ”故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,具有 下 
列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 八 十 六 条 第 三 款 规定 的 “后 果 严 重 ”: 

(一 ) 制作 ,提供 、 传 输 第 五 条 第 (一 ) 项 规定 的 程序 ,导致 该 程序 通过 网 络 、 存 储 介质 、 文 
件 等 媒介 传播 的 ; 

(二 ) 造成 二 十 台 以 上 计算 机 系统 被 植 入 第 五 条 第 (二 )、( 三 ) 项 规定 的 程序 的 ; 

(三 ) 提供 计算 机 病毒 等 破坏 性 程序 十 人 次 以 上 的 ; 

(四 ) 违法 所 得 五 千 元 以 上 或 者 造成 经 济 损失 一 万 元 以 上 的 ; 

(五 ) 造成 其 他 严重 后 果 的 。 

实施 前 款 规定 行为 ,具有 下 列 情形 之 一 的 ,应 当 认定 为 破坏 计算 机 信息 系统 “后 果 特 别 
严重 2 

(一 ) 制作 、 提 供 、 传 输 第 五 条 第 (一 ) 项 规定 的 程序 ,导致 该 程序 通过 网 络 、 存 储 介 质 、 文 
件 等 媒介 传播 ,致使 生产 、 生 活 受 到 严重 影响 或 者 造成 恶劣 社会 影响 的 ; 

(二 ) 数量 或 者 数额 达到 前 款 第 (二 ) 项 至 第 (四 ) 项 规定 标准 五 倍 以 上 的 ; 

(三 ) 造成 其 他 特别 严重 后 果 的 。 

第 七 条 ”明知 是 非法 获取 计算 机 信息 系统 数据 犯罪 所 获取 的 数据 、 非 法 控制 计算 机 信 
息 系 统 犯罪 所 获取 的 计算 机 信息 系统 控制 权 , 而 予以 转移 收购 、 代 为 销售 或 者 以 其 他 方法 
掩饰 ,隐瞒 ,违法 所 得 五 千 元 以 上 的 ,应 当 依 照 刑法 第 三 百 一 十 二 条 第 一 款 的 规定 ,以 掩饰 、 
隐瞒 犯罪 所 得 罪 定 罪 处 罚 。 

实施 前 款 规定 行为 ,违法 所 得 五 万 元 以 上 的 ,应 当 认 定 为 刑法 第 三 百 一 十 二 条 第 一 款 规 
定 的 “情节 严重 ”。 

单位 实施 第 一 款 规定 行为 的 :定罪 量刑 标准 依照 第 一 款 、 第 二 款 的 规定 执行 。 

第 八条 ”以 单位 名 义 或 者 单位 形式 实施 危害 计算 机 信息 系统 安全 犯罪 ,达到 本 解释 规 
定 的 定罪 量刑 标准 的 ,应 当 依 照 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 的 规定 追究 直接 负责 
的 主管 人 员 和 其 他 直接 责任 人 员 的 刑事 责任 。 
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第 九条 ”明知 他 人 实施 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 规定 的 行为 ,具有 下 列 情 
形 之 一 的 ,应 当 认 定 为 共同 犯罪 ,依照 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 的 规定 处 罚 : 

(一 ) 为 其 提供 用 于 破坏 计算 机 信息 系统 功能 .数据 或 者 应 用 程序 的 程序 .工具 ,违法 所 
得 五 千 元 以 上 或 者 提供 十 人 次 以 上 的 ; 

(二 ) 为 其 提供 互联 网 接 入 、 服 务 器 托管 网络 存 储 空间 、 通 讯 传 输 通道 .费用 结算 、 交 易 
服务 广告 服务 、 技 术 培 训 、 技 术 支 持 等 帮助 ,违法 所 得 五 千 元 以 上 的 ; 

(三 ) 通过 委托 推广 软件 ,投放 广告 等 方式 向 其 提供 资金 五 千 元 以 上 的 。 

实施 前 款 规定 行为 ,数量 或 者 数额 达到 前 款 规定 标准 五 倍 以 上 的 ,应 当 认 定 为 刑法 第 二 
百 八 十 五 条 、 第 二 百 八 十 六 条 规定 的 “情节 特别 严重 ”或 者 "后果 特 别 严 重 ”。 

第 十 条 ”对 于 是 否 属于 刑法 第 二 百 八 十 五 条 、 第 二 百 八 十 六 条 规定 的 “国家 事务 、 国 防 
建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 “专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 
程序 工具”“ 计 算 机 病毒 等 破坏 性 程序 ”难以 确定 的 ,应 当 委 托 省 级 以 上 负责 计算 机 信息 系 
统 安全 保护 管理 工作 的 部 门 检验 。 司 法 机 关 根 据 检 验 结论 ,并 结合 案件 具体 情况 认定 。 

第 十 一 条 ”本 解释 所 称 “ 计 算 机 信息 系统 "和 “计算 机 系统 ”, 是 指 具备 自动 处 理 数据 功 
能 的 系统 ,包括 计算 机 、 网 络 设 备 、 通 信 设 备 、 自 动 化 控制 设备 等 。 

本 解释 所 称 " 身 份 认证 信息 ”, 是 指 用 于 确认 用 户 在 计算 机 信息 系统 上 操作 权限 的 数据 ， 
包括 账号 口令、 密码 ,数字 证 书 等 。 

本 解释 所 称 " 经 济 损失 ”, 包 括 危 害 计算 机 信息 系统 犯罪 行为 给 用 户 直接 造成 的 经 济 损 
失 , 以 及 用 户 为 恢复 数据 、 功 能 而 支出 的 必要 费用 。 


附录 9 ”关于 办 理 赌博 刑事 案件 具体 应 用 法 律 若干 
问题 的 解释 


法 释 [2005]3 号 

(2005 年 4 月 26 日 最 高 人 民法 院 审 判 委 员 会 第 1349 次 会 议 通 过 、2005 年 5 月 8 日 最 
高 人 民 检 察 院 第 十 届 检 察 委员 会 第 34 次 会 议 通过 ,2005 年 5 月 11 日 最 高 人 民法 院 、 最 高 
人 民 检 察 院 公 告 公布 , 自 2005 年 5 月 13 日 起 施行 ) 

为 依法 惩治 赌博 犯罪 活动 ,根据 刑法 的 有 关 规 定 , 现 就 办 理 赌博 刑事 案件 具体 应 用 法 律 
的 若干 问题 解释 如 下 : 

第 一 条 ”以 营利 为 目的 ,有 下 列 情形 之 一 的 ,属于 刑法 第 三 百 零 三 条 规定 的 “聚众 
赌博 ”; 

(一 ) 组 织 3 人 以 上 赌博 , 抽 头 渔 利 数额 累计 达到 5000 元 以 上 的 ; 

(二 ) 组 织 3 人 以 上 赌博 .赌资 数额 累计 达到 5 万 元 以 上 的 ; 

(三 ) 组 织 3 人 以 上 赌博 : 参 财 人数 累 计 达 到 20 人 以 上 的 ; 

(四 ) 组 织 中 华人 民 共 和 国 公 民 10 人 以 上 赴 境 外 赌博 ,从 中 收取 回扣 、 介 绍 费 的 。 
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第 二 条 ”以 营利 为 目的 ,在 计算 机 网 络 上 建立 赌博 网 站 ,或 者 为 赌博 网 站 担任 代理 , 接 
受 投注 的 ,属于 刑法 第 三 百 零 三 条 规定 的 “开设 赌场 ”。 

第 三 条 ”中 华人 民 共 和 国 公民 在 我 国 领域 外 周边 地 区 聚众 赌博 、 开 设 赌 场 ,以 吸引 中 华 
人 民 共 和 国 公 民 为 主要 客 源 ,构成 赌博 罪 的 ,可 以 依照 刑法 规定 追究 刑事 责任 。 

第 四 条 “明知 他 人 实施 赌博 犯罪 活动 ,而 为 其 提供 资金 .计算 机 网 络 .通讯 费用 结算 等 
直接 帮助 的 ,以 赌博 罪 的 共犯 论处 。 

第 五 条 实施 赌博 犯罪 ,有 下 列 情形 之 一 的 ,依照 刑法 第 三 百 零 三 条 的 规定 从 重 处 罚 ， 

(一 ) 具有 国家 工作 人 员 身 份 的 ; 

(二 ) 组 织 国 家 工作 人 员 赴 境外 赌博 的 ; 

(三 ) 组 织 未 成 年 人 参与 赌博 ,或 者 开设 赌场 吸引 未 成 年 人 参与 赌博 的 。 

第 六 条 ”未 经 国家 批准 擅自 发 行 、 销 售 彩票 ,构成 犯罪 的 ,依照 刑法 第 二 百 二 十 五 条 第 
(四 ) 项 的 规定 ,以 非法 经 营 罪 定罪 处 罚 。 

第 七 条 ”通过 赌博 或 者 为 国家 工作 人 员 赌 博 提 供 资 金 的 形式 实施 行贿 、 受 贿 行 为 ,构成 
犯罪 的 ,依照 刑法 关于 贿赂 犯罪 的 规定 定罪 处 罚 。 

第 八条 “赌博 犯罪 中 用 作 赌 注 的 款 物 .换取 筹码 的 款 物 和 通过 赌博 赢 取 的 款 物 属 于 赌 
资 。 通 过 计算 机 网 络 实施 赌博 犯罪 的 ,赌资 数额 可 以 按照 在 计算 机 网 络 上 投注 或 者 赢 取 的 
点 数 乘 以 每 一 点 实际 代表 的 金额 认定 。 

赌资 应 当 依 法 予以 追缴 ; 赌博 用 具 、 赌 博 违 法 所 得 以 及 赌博 犯罪 分 子 所 有 的 专门 用 于 
赌博 的 资金 ,交通 工具 .通讯 工具 等 .应当 依 法 予以 没收 。 

第 九条 不 以 营利 为 目的 ,进行 带 有 少量 财物 输赢 的 娱乐 活动 ,以 及 提供 棋牌 室 等 娱乐 
场所 只 收取 正常 的 场所 和 服务 费用 的 经 营 行为 等 ,不 以 赌博 论处 。 


附录 10 ”关于 办 理 网 络 赌博 犯罪 案件 适用 法 律 若干 
问题 的 意见 


公 通 字 [2010]40 号 

各 省 .自治 区 ,直辖 市 高 级 人 民法 院 ` 人 民 检 察 院 ,公安 厅 、 局 ,新 疆 维吾尔 自治 区 高 级 人 
民法 院 生产 建设 兵团 分 院 .新疆 生产 建设 兵团 人 民 检 察 院 .公安 局 : 

为 依法 惩治 网 络 赌博 犯罪 活动 ,根据 (中 华人 民 共 和 国 刑法 》《 中 华人 民 共 和 国 刑事 诉 
讼 法 》 和 《最 高 人 民法 院 、 最 高 人 民 检察 院 关 于 办 理 赌 博 刑事 案件 具体 应 用 法 律 若干 问题 的 
解释 ?等 有 关 规 定 , 结 合 司法 实践 , 现 就 办 理 网 络 赌博 犯罪 案件 适用 法 律 的 若干 问题 ,提出 如 
下 意见 : 

一 、 关 于 网 上 开设 赌场 犯罪 的 定罪 量刑 标准 

利用 互联 网 、 移 动 通讯 终端 等 传输 赌博 视频 、 数 据 ,组 织 赌博 活动 ,具有 下 列 情形 之 一 
的 ,属于 刑法 第 三 百 零 三 条 第 二 款 规定 的 “开设 赌场 "行为 : 
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(一 ) 建立 赌博 网 站 并 接受 投注 的 ; 

(二 ) 建立 赌博 网 站 并 提供 给 他 人 组 织 赌博 的 ; 

(三 ) 为 赌博 网 站 担任 代理 并 接受 投注 的 ; 

(四 ) 参与 赌博 网 站 利润 分 成 的 。 

实施 前 款 规 定 的 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 三 百 零 三 条 第 二 款 规 定 
的 “情节 严重 ”， 

(一 ) 抽 头 渔 利 数额 累计 达到 3 万 元 以 上 的 ; 

(二 ) 赌资 数额 累计 达到 30 万 元 以 上 的 ; 

(三 ) 参 财 人 数 累 计 达 到 120 人 以 上 的 ; 

(四 ) 建立 赌博 网 站 后 通过 提供 给 他 人 组 织 赌博 ,违法 所 得 数额 在 3 万 元 以 上 的 ， 

(五 ) 参与 赌博 网 站 利润 分 成 ,违法 所 得 数额 在 3 万 元 以 上 的 ; 

(六 ) 为 赌博 网 站 招募 下 级 代理 ,由 下 级 代理 接受 投注 的 ; 

(七 ) 招揽 未 成 年 人 参与 网 络 赌博 的 ; 

( 八 ) 其 他 情节 严重 的 情形 。 

二 、 关 于 网 上 开设 赌场 共同 犯罪 的 认定 和 处 罚 

明知 是 赌博 网 站 ,而 为 其 提供 下 列 服务 或 者 帮助 的 ,属于 开设 赌场 罪 的 共同 犯罪 ,依照 
刑法 第 三 百 零 三 条 第 二 款 的 规定 处 罚 : 

(一 ) 为 赌博 网 站 提供 互联 网 接 人 、 服 务 器 托管 .网 络 存储 空间 .通讯 传输 通道 .投放 广 
告发 展会 员 、 软 件 开发 ,技术 支持 等 服务 ,收取 服务 费 数额 在 2 万 元 以 上 的 ; 

(二 ) 为 赌博 网 站 提供 资金 支付 结算 服务 ,收取 服务 费 数 额 在 1 万 元 以 上 或 者 帮助 收取 
赌资 20 万 元 以 上 的 ; 

(三 ) 为 10 个 以 上 赌博 网 站 投放 与 网 址 、 赔 率 等 信息 有 关 的 广告 或 者 为 赌博 网 站 投放 
广告 累计 100 条 以 上 的 。 

实施 前 款 规定 的 行为 ,数量 或 者 数额 达到 前 款 规定 标准 5 倍 以 上 的 ,应 当 认 定 为 刑法 第 
三 百 零 三 条 第 二 款 规 定 的 “情节 严重 ”。 

实施 本 条 第 一 款 规定 的 行为 ,具有 下 列 情形 之 一 的 ,应 当 认定 行为 人 “明知 ”, 但 是 有 证 
据 证 明确 实 不 知道 的 除外 : 

(一 ) 收 到 行政 主管 机 关 书 面 等 方式 的 告知 后 ,仍然 实施 上 述 行为 的 ; 

(二 ) 为 赌博 网 站 提供 互联 网 接 入 、 服 务 器 托管 .网 络 存 储 空间 、 通 讯 传输 通道 ,投放 广 
告 . 软 件 开 发 .技术 支持 、 资 金 支 付 结算 等 服务 ,收取 服务 费 明显 异常 的 ; 

三 ) 在 执法 人 员 调 查 时 ,通过 销毁 、 修 改 数据 ,账本 等 方式 故意 规避 调查 或 者 向 犯罪 嫌 
疑 人 通风 报信 的 ; 

(四 ) 其 他 有 证 据 证 明 行 为 人 明知 的 。 

如 果 有 开设 赌场 的 犯罪 嫌疑 人 尚未 到 案 , 但 是 不 影响 对 已 到 案 共 同 犯罪 嫌疑 人 、 被 告 人 
的 犯罪 事实 认定 的 ,可 以 依法 对 已 到 案 者 定罪 处 罚 。 
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三 、 关 于 网 络 赌博 犯罪 的 参 赌 人 数 、 赌 资 数额 和 网 站 代理 的 认定 

赌博 网 站 的 会 员 账号 数 可 以 认定 为 参 赌 人 数 , 如 果 查 实 一 个 账号 多 人 使 用 或 者 多 个 账 
号 一 人 使 用 的 ,应 当 按照 实际 使 用 的 人 数 计算 参 财 人 数 。 

赌资 数额 可 以 按照 在 网 络 上 投注 或 者 赢 取 的 点 数 乘 以 每 一 点 实际 代表 的 金额 认定 。 

对 于 将 资金 直接 或 间接 兑换 为 虚拟 货币 .游戏 道具 等 虚拟 物品 ,并 用 其 作为 筹码 投注 
的 ,赌资 数额 按照 购买 该 虚拟 物品 所 需 资金 数额 或 者 实际 支付 资金 数额 认定 。 

对 于 开设 赌场 犯罪 中 用 于 接收 ,流转 赌资 的 银行 账户 内 的 资金 ,犯罪 嫌疑 人 、 被 告 人 不 
能 说 明 合法 来 源 的 ,可 以 认定 为 赌资 。 向 该 银行 账户 转 和 人、 转 出 资金 的 银行 账户 数量 可 以 认 
定 为 参 财 人 数 。 如 果 查 实 一 个 账户 多 人 使 用 或 多 个 账户 一 人 使 用 的 ,应 当 按照 实际 使 用 的 
人 数 计 算 参 赌 人 数 。 

有 证 据 证 明 犯 罪 嫌疑 人 在 赌博 网 站 上 的 账号 设置 有 下 级 账号 的 ,应 当 认 定 其 为 赌博 网 
站 的 代理 。 

四 、 关 于 网 络 赌博 犯罪 案件 的 管辖 

网 络 赌博 犯罪 案件 的 地 域 管辖 ,应 当 坚持 以 犯罪 地 管辖 为 主 ` 被 告 人 居住 地 管辖 为 辅 的 
原则 。 

“犯罪 地 ”包括 赌博 网 站 服务 器 所 在 地 、 网 络 接 入 地 ,赌博 网 站 建立 者 ,管理 者 所 在 地 ,以 
及 赌博 网 站 代理 人 、 参 赌 人 实施 网 络 赌博 行为 地 等 。 

公安 机 关 对 侦办 跨 区 域 网 络 赌博 犯罪 案件 的 管辖 权 有 争议 的 ,应 本 着 有 利于 查 清 犯 罪 
事实 、 有 利于 诉讼 的 原则 ,认真 协商 解决 。 经 协商 无 法 达成 一 致 的 , 报 共同 的 上 级 公安 机 关 
指定 管辖 。 对 即将 侦查 终结 的 跨 省 (自治 区 、 直 辖 市 ) 重 大 网 络 赌博 案件 ,必要 时 可 由 公安 部 
商 最 高 人 民法 院 和 最 高 人 民 检 察 院 指定 管辖 。 

为 保证 及 时 结案 ,避免 超期 晶 押 ,人 民 检 察 院 对 于 公安 机 关 提 请 审查 逮捕 、 移 送审 查 起 
诉 的 案件 ,人 民法 院 对 于 已 进入 审判 程序 的 案件 ,犯罪 嫌疑 人 、 被 告 人 及 其 辩护 人 提出 管辖 
异议 或 者 办 案 单 位 发 现 没有 管辖 权 的 , 受 案 人 民 检 察 院 、 人 民法 院 经 审查 可 以 依法 报请 上 级 
人 民 检 察 院 ,、 人 民法 院 指定 管辖 ,不 再 自行 移送 有 管辖 权 的 人 民 检 察 院 、 人 民法 院 。 

五 、 关 于 电子 证 据 的 收集 与 保全 

侦查 机 关 对 于 能 够 证 明 赌 博 犯 罪案 件 真 实情 况 的 网 站 页 面 、 上 网 记录 、 电 子 邮 件 、 电 子 
合同 .电子 交易 记录 、 电 子 账册 等 电子 数据 ,应 当 作为 刑事 证 据 予 以 提取 、 复 制 .固定 。 

侦查 人 员 应 当 对 提取 、 复 制 .固定 电子 数据 的 过 程 制 作 相 关 文 字 说 明 , 记 录 案 由 、 对 象 、 
内 容 以 及 提取 、 复 制 . 固 定 的 时 间 、 地 点 、 方 法 ,电子 数据 的 规格 、 类 别 、 文 件 格式 等 ,并 由 提 
取 、 复 制 . 固 定 电子 数据 的 制作 人 、 电 子 数据 的 持 有 人 签名 或 者 盖 章 , 附 所 提取 、 复 制 .固定 的 
电子 数据 一 并 随 案 移送 。 

对 于 电子 数据 存储 在 境外 的 计算 机 上 的 ,或 者 侦查 机 关 从 赌博 网 站 提取 电子 数据 时 犯 
罪 嫌 疑 人 未 到 案 的 ,或 者 电子 数据 的 持 有 人 无 法 签字 或 者 拒绝 签字 的 ,应 当 由 能 够 证 明 提 
取 、 复 制 . 固 定 过 程 的 见证 人 签名 或 者 盖 章 , 记 明 有 关 情 况 。 必 要 时 ,可 对 提取 、 复 制 `. 固 定 有 
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附录 11 关于 办 理 利用 互联 网 .移动 通讯 终端 、 
声讯 台 制 作 、 复 制 .出 版 ,贩卖 .传播 淫秽 电子 
信息 刑事 案件 具体 应 用 法 律 若 干 问题 的 解释 


法 释 [2004]11 号 

(2004 年 9 月 1 日 最 高 人 民法 院 审判 委员 会 第 1323 次 会 议 .2004 年 9 月 2 日 最 高 人 民 
检察 院 第 十 届 检 察 委员 会 第 26 次 会 议 通 过 。2004 年 9 月 3 日 最 高 人 民法 院 公告 公布 , 自 
2004 年 9 月 6 日 起 施行 ) 

为 依法 惩治 利用 互联 网 、 移 动 通 讯 终 端 制 作 、 复 制 、 出 版 ,贩卖 ,传播 淫秽 电子 信息 、 通 过 
声讯 台 传播 淫秽 语音 信息 等 犯罪 活动 ,维护 公共 网 络 .通讯 的 正常 秩序 ,保障 公众 的 合法 权 
益 , 根 据 ( 中 华人 民 共 和 国 刑法 》《 全 国人 民 代表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决 
定 ) 的 规定 , 现 对 办 理 该 类 刑事 案件 具体 应 用 法 律 的 若干 问题 解释 如 下 : 

第 一 条 ”以 件 利 为 目的 ,利用 互联 网 、 移 动 通讯 终端 制作 复制. 出 版 ,贩卖 .传播 泽 秽 电 
子 信息 ,具有 下 列 情形 之 一 的 ,依照 刑法 第 三 百 六 十 三 条 第 一 款 的 规定 ,以 制作 .复制 .出 版 、 
贩卖 ,传播 淫秽 物品 牟利 罪 定罪 处 罚 : 

(一 ) 制作 ,复制 .出 版 ,贩卖 .传播 淫秽 电影 .表演 动画 等 视频 文件 二 十 个 以 上 的 ; 

(二 ) 制作 ,复制 、 出 版 ,贩卖 ,传播 淫秽 音频 文件 一 百 个 以 上 的 ; 

(三 ) 制作 ,复制 .出 版 ,贩卖 ,传播 淫秽 电子 刊物 .图片 .文章 、 短 信息 等 二 百 件 以 上 的 ; 

(四 ) 制作 、 复 制 . 出 版 ,贩卖 ,传播 的 淫秽 电子 信息 ,实际 被 点 击 数 达 到 一 万 次 以 上 的 ; 

(五 ) 以 会 员 制 方式 出 版 .贩卖 ,传播 淫秽 电子 信息 ,注册 会 员 达 二 百人 以 上 的 ; 

(六 ) 利用 淫秽 电子 信息 收取 广告 费 、 会 员 注 册 费 或 者 其 他 费用 ,违法 所 得 一 万 元 以 
上 的 ; 

(七 ) 数量 或 者 数额 虽 未 达到 第 (一 ) 项 至 第 (六 ) 项 规定 标准 ,但 分 别 达到 其 中 两 项 以 上 
标准 一 半 以 上 的 ; 

( 八 ) 造成 严重 后 果 的 。 

利用 聊天 室 、 论 坛 . 即 时 通信 软件 .电子 邮件 等 方式 ,实施 第 一 款 规定 行为 的 ,依照 刑法 
第 三 百 六 十 三 条 第 一 款 的 规定 ,以 制作 复制、. 出 版 ,贩卖 .传播 淫秽 物品 件 利 罪 定罪 处 罚 。 

第 二 条 ”实施 第 一 条 规定 的 行为 ,数量 或 者 数额 达到 第 一 条 第 一 款 第 (一 ) 项 至 第 (六 ) 
项 规定 标准 五 倍 以 上 的 ,应 当 认 定 为 刑法 第 三 百 六 十 三 条 第 一 款 规 定 的 “情节 严重 ”; 达到 
规定 标准 二 十 五 倍 以 上 的 ,应 当 认 定 为 “情节 特别 严重 ”。 

第 三 条 不 以 件 利 为 目的 ,利用 互联 网 或 者 转移 通讯 终端 传播 淫秽 电子 信息 ,具有 下 列 
情形 之 一 的 ,依照 刑法 第 三 百 六 十 四 条 第 一 款 的 规定 ,以 传播 淫秽 物品 罪 定罪 处 罚 ， 

(一 ) 数量 达到 第 一 条 第 一 款 第 (一 ) 项 至 第 (五 ) 项 规定 标准 二 倍 以 上 的 ; 
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(二 ) 数量 分 别 达到 第 一 条 第 一 款 第 (一 ) 项 至 第 (五 ) 项 两 项 以 上 标准 的 ; 

(三 ) 造成 严重 后 果 的 。 

利用 聊天 室 、 论 坛 、 即 时 通信 和 软件、 电子 邮件 等 方式 ,实施 第 一 款 规定 行为 的 ,依照 刑法 
第 三 百 六 十 四 条 第 一 款 的 规定 ,以 传播 淫秽 物品 罪 定罪 处 罚 。 

第 四 条 ”明知 是 淫秽 电子 信息 而 在 自己 所 有 、 管 理 或 者 使 用 的 网 站 或 者 网 页 上 提供 直 
接 链接 的 ,其 数量 标准 根据 所 链接 的 淫秽 电子 信息 的 种 类 计算 。 

第 五 条 ”以 件 利 为 目的 ,通过 声讯 台 传播 淫秽 语音 信息 ,具有 下 列 情形 之 一 的 ,依照 刑 
法 第 三 百 六 十 三 条 第 一 款 的 规定 ,对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 以 传播 淫秽 
物品 牟利 罪 定罪 处 罚 : 

(一 ) 向 一 百人 次 以 上 传播 的 ; 

(二 ) 违法 所 得 一 万 元 以 上 的 ; 

(三 ) 造成 严重 后 果 的 。 

实施 前 款 规 定 行为 ,数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (二 ) 项 规定 标准 五 倍 以 上 的 ， 
应 当 认定 为 刑法 第 三 百 六 十 三 条 第 一 款 规定 的 “情节 严重 ”; 达到 规定 标准 二 十 五 倍 以 上 
的 ,应 当 认 定 为 "情节 特别 严重 ”。 

第 六 条 ”实施 本 解释 前 五 条 规定 的 犯罪 ,具有 下 列 情形 之 一 的 ,依照 刑法 第 三 百 六 十 三 
条 第 一 款 、 第 三 百 六 十 四 条 第 一 款 的 规定 从 重 处 罚 : 

(一 ) 制作 ,复制 .出 版 ,贩卖 .传播 具体 描绘 不 满 十 八 周 岁 未 成 年 人 性 行为 的 淫秽 电子 
信息 的 ; 

(二 ) 明知 是 具体 描绘 不 满 十 八 周岁 的 未 成 年 人 性 行为 的 淫秽 电子 信息 而 在 自己 所 有 、 
管理 或 者 使 用 的 网 站 或 者 网 页 上 提供 直接 链接 的 

(三 ) 向 不 满 十 八 周岁 的 未 成 年 人 贩卖 .传播 淫秽 电子 信息 和 语音 信息 的 ; 

(四 ) 通过 使 用 破坏 性 程序 .恶意 代码 修改 用 户 计算 机 设置 等 方法 ,强制 用 户 访问 .下 载 
淫秽 电子 信息 的 。 

第 七 条 ”明知 他 人 实施 制作 、 复 制 、 出 版 ,贩卖 ,传播 淫秽 电子 信息 犯罪 ,为 其 提供 互联 
网 接 入 、 服 务 器 托管 网络 存储 空间 、 通 讯 传 输 通道 ,费用 结算 等 帮助 的 ,对 直接 负责 的 主管 
人 员 和 其 他 直接 责任 人 员 ,以 共同 犯罪 论处 。 

第 八条 ”利用 互联 网 ,移动 通讯 终端 .声讯台 贩卖 ,传播 淫秽 书刊 .影片 .录像 带 、 录 音 带 
等 以 实物 为 载体 的 淫秽 物品 的 :依照 4 最 高 人 民法 院 关 于 审理 非法 出 版 物 刑事 案件 具体 应 用 
法 律 若干 问题 的 解释 ) 的 有 关 规 定 定罪 处 罚 。 

第 九条 ”刑法 第 三 百 六 十 七 条 第 一 款 规定 的 "其 他 淫秽 物品 ”, 包 括 具体 描绘 性 行为 或 
者 露骨 宣扬 色情 的 诲 淫 性 的 视频 文件 .音频 文件 \ 电 子 刊物 .图 片 . 文 章 、 短 信息 等 互联 网 \ 移 
动 通讯 终端 电子 信息 和 声讯 台 语音 信息 。 

有 关 人 体 生理 、 医 学 知识 的 电子 信息 和 声讯 台 语音 信息 不 是 淫秽 物品 。 包 含 色情 内 容 
的 有 艺术 价值 的 电子 文学 、 艺 术 作品 不 视 为 淫秽 物品 。 
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附录 12 ”关于 办 理 利 用 互联 网 .移动 通讯 终 
声讯 台 制 作 、 复 制 .出 版 ,贩卖 .传播 淫 秽 电 子 、 
信息 刑事 案件 具体 应 用 法 律 若 干 问题 的 解释 (二 ) 


法 释 L2010]3 号 

(2010 年 1 月 18 日 最 高 人 民法 院 审判 委员 会 第 1483 次 会 议 .2010 年 1 月 14 日 最 高 人 
民 检察 院 第 十 一 届 检 察 委员 会 第 28 次 会 议 通过 ,2010 年 2 月 2 日 最 高 人 民法 院 、 最 高 人 民 
检察 院 公 告 公布 , 自 2010 年 2 月 4 日 起 施行 ) 

为 依法 惩治 利用 互联 网 ,移动 通讯 终端 制作 、 复 制 . 出 版 ,贩卖 ,传播 淫秽 电子 信息 ,通过 
声讯 台 传 播 淫秽 语音 信息 等 犯罪 活动 ,维护 社会 秩序 ,保障 公民 权益 ,根据 (中 华人 民 共 和 国 
刑法 》《 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》 的 规定 , 现 对 办 理 该 类 
刑事 案件 具体 应 用 法 律 的 若干 问题 解释 如 下 : 

第 一 条 ”以 件 利 为 目的 ,利用 互联 网 .移动 通讯 终端 制作 复制. 出 版 贩卖、 传播 淫 秽 电 
子 信息 的 ,依照 (最 高 人 民法 院 \ 最 高 人 民 检 察 院 关 于 办 理 利用 互联 网 、 移 动 通讯 终端 ,声讯 
台 制 作 、 复 制 . 出 版 ,贩卖 .传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ?第 一 
条 、 第 二 条 的 规定 定罪 处 罚 。 

以 牟利 为 目的 ,利用 互联 网 、 移 动 通讯 终端 制作 、 复 制 出 版 .贩卖 ,传播 内 容 含 有 不 满 十 
四 周岁 未 成 年 人 的 淫秽 电子 信息 ,具有 下 列 情形 之 一 的 ,依照 刑法 第 三 百 六 十 三 条 第 一 款 的 
规定 ,以 制作 复制 .出 版 ,贩卖 ,传播 淫秽 物品 件 利 罪 定罪 处 罚 : 

(一 ) 制作 ,复制 . 出 版 ,贩卖 ,传播 淫秽 电影 表演 动画 等 视频 文件 十 个 以 上 的 ; 

(二 ) 制作 、 复 制 、 出 版 .贩卖 ,传播 淫秽 音频 文件 五 十 个 以 上 的 ; 

(三 ) 制作 、 复 制 、 出 版 ,贩卖 ,传播 淫秽 电子 刊物 .图片 .文章 等 一 百 件 以 上 的 ; 

(四 ) 制作 、 复 制 、 出 版 ,贩卖 ,传播 的 淫秽 电子 信息 ,实际 被 点 击 数 达 到 五 千 次 以 上 的 ; 

(五 ) 以 会 员 制 方式 出 版 .贩卖 ,传播 淫秽 电子 信息 ,注册 会 员 达 一 百人 以 上 的 ; 

(六 ) 利用 淫秽 电子 信息 收取 广告 费 . 会 员 注 册 费 或 者 其 他 费用 ,违法 所 得 五 千 元 以 
上 的 ; 

(七 ) 数量 或 者 数额 虽 未 达到 第 (一 ) 项 至 第 (六 ) 项 规定 标准 ,但 分 别 达到 其 中 两 项 以 上 
标准 一 半 以 上 的 ; 

( 八 ) 造成 严重 后 果 的 。 

实施 第 二 款 规定 的 行为 .数量 或 者 数额 达到 第 二 款 第 (一 ) 项 至 第 (七 ) 项 规定 标准 五 倍 
以 上 的 ,应 当 认 定 为 刑法 第 三 百 六 十 三 条 第 一 款 规 定 的 “情节 严重 ”; 达到 规定 标准 二 十 五 
倍 以 上 的 ,应 当 认 定 为 情节 特别 严重 ”。 

第 二 条 ”利用 互联 网 移动 通讯 终端 传播 淫秽 电子 信息 的 .依照 (最 高 人 民法 院 、 最 高 人 
民 检 察 院 关于 办 理 利 用 互联 网 、 移 动 通讯 终端 声讯 台 制作 、 复 制 、. 出 版 贩卖、 传播 淫秽 电子 
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信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 ?第 三 条 的 规定 定罪 处 罚 。 

利用 互联 网 、 移 动 通讯 终端 传播 内 容 含有 不 满 十 四 周岁 未 成 年 人 的 淫秽 电子 信息 ,具有 
下 列 情 形 之 一 的 ,依照 刑法 第 三 百 六 十 四 条 第 一 款 的 规定 ,以 传播 淫秽 物品 罪 定罪 处 罚 ， 

(一 ) 数量 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (五 ) 项 规定 标准 二 倍 以 上 的 ; 

(二 ) 数量 分 别 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (五 ) 项 两 项 以 上 标准 的 ; 

(三 ) 造成 严重 后 果 的 。 

第 三 条 ”利用 互联 网 建立 主要 用 于 传播 淫秽 电子 信息 的 群 组 ,成 员 达 三 十 人 以 上 或 者 
造成 严重 后 果 的 ,对 建立 者 .管理 者 和 主要 传播 者 ,依照 刑法 第 三 百 六 十 四 条 第 一 款 的 规定 ， 
以 传播 淫秽 物品 罪 定 罪 处 罚 。 

第 四 条 ”以 牟利 为 目的 ,网 站 建立 者 、 直 接 负责 的 管理 者 明知 他 人 制作 、 复 制 、 出 版 , 贩 
卖 , 传 播 的 是 淫秽 电子 信息 ,允许 或 者 放任 他 人 在 自己 所 有 、 管 理 的 网 站 或 者 网 页 上 发 布 , 具 
有 下 列 情形 之 一 的 ,依照 刑法 第 三 百 六 十 三 条 第 一 款 的 规定 ,以 传播 淫秽 物品 牟利 罪 定罪 
处 罚 : 

(一 ) 数量 或 者 数额 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (六 ) 项 规定 标准 五 倍 以 上 的 ; 

(二 ) 数量 或 者 数额 分 别 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (六 ) 项 两 项 以 上 标准 二 倍 以 
上 的 ; 

(三 ) 造成 严重 后 果 的 。 

实施 前 款 规定 的 行为 ,数量 或 者 数额 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (七 ) 项 规定 标准 
二 十 五 倍 以 上 的 ,应 当 认定 为 刑法 第 三 百 六 十 三 条 第 一 款 规 定 的 “情节 严重 ”; 达到 规定 标 
准 一 百倍 以 上 的 ,应 当 认 定 为 "情节 特别 严重 ”。 

第 五 条 ”网 站 建立 者 、 直 接 负责 的 管理 者 明知 他 人 制作 、 复 制 、 出 版 .贩卖 ,传播 的 是 淫 
秽 电子 信息 ,允许 或 者 放任 他 人 在 自己 所 有 、 管 理 的 网 站 或 者 网 页 上 发 布 ,具有 下 列 情形 之 
一 的 ,依照 刑法 第 三 百 六 十 四 条 第 一 款 的 规定 ,以 传播 淫秽 物品 罪 定罪 处 罚 : 

(一 ) 数量 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (五 ) 项 规定 标准 十 倍 以 上 的 ; 

(二 ) 数量 分 别 达到 第 一 条 第 二 款 第 (一 ) 项 至 第 (五 ) 项 两 项 以 上 标准 五 倍 以 上 的 

(三 ) 造成 严重 后 果 的 。 

第 六 条 ”电信 业务 经 营 者 .互联 网 信息 服务 提供 者 明知 是 淫秽 网 站 ,为 其 提供 互联 网 接 
人 、 服 务 器 托管 .网 络 存储 空间 .通讯 传输 通道 、 代 收费 等 服务 ,并 收取 服务 费 , 具 有 下 列 情形 
之 一 的 ,对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依照 刑法 第 三 百 六 十 三 条 第 一 款 的 规 
定 , 以 传播 泽 秽 物品 牟利 罪 定罪 处 罚 : 

(一 ) 为 五 个 以 上 淫秽 网 站 提供 上 述 服务 的 ; 

(二 ) 为 淫秽 网 站 提供 互联 网 接 人 、 服 务 器 托管 .网 络 存储 空间 、 通 讯 传输 通道 等 服务 ， 
收取 服务 费 数额 在 二 万 元 以 上 的 ; 

(三 ) 为 淫秽 网 站 提供 代 收 费 服务 .收取 服务 费 数 额 在 五 万 元 以 上 的 ; 

(四 ) 造成 严重 后 果 的 。 
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实施 前 款 规 定 的 行为 ,数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (三 ) 项 规定 标准 五 倍 以 上 
的 ,应 当 认定 为 刑法 第 三 百 六 十 三 条 第 一 款 规 定 的 “情节 严重 ”; 达到 规定 标准 二 十 五 倍 以 
上 的 ,应 当 认 定 为 “情节 特别 严重 ”。 

第 七 条 ”明知 是 淫秽 网 站 ,以 牟利 为 目的 ,通过 投放 广告 等 方式 向 其 直接 或 者 间接 提供 
资金 ,或 者 提供 费用 结算 服务 ,具有 下 列 情形 之 一 的 ,对 直接 负责 的 主管 人 员 和 其 他 直接 责 
任 人 员 ,依照 刑法 第 三 百 六 十 三 条 第 一 款 的 规定 ,以 制作 .复制 . 出 版 ,贩卖 .传播 淫秽 物品 件 
利 罪 的 共同 犯罪 处 罚 ， 

(一 ) 向 十 个 以 上 淫秽 网 站 投放 广告 或 者 以 其 他 方式 提供 资金 的 ; 

(二 ) 向 淫秽 网 站 投放 广告 二 十 条 以 上 的 ; 

(三 ) 向 十 个 以 上 淫秽 网 站 提供 费用 结算 服务 的 ; 

(四 ) 以 投放 广告 或 者 其 他 方式 向 淫秽 网 站 提供 资金 数额 在 五 万 元 以 上 的 ; 

(五 ) 为 淫秽 网 站 提供 费用 结算 服务 ,收取 服务 费 数额 在 二 万 元 以 上 的 ， 

(六 ) 造成 严重 后 果 的 。 

实施 前 款 规 定 的 行为 ,数量 或 者 数额 达到 前 款 第 (一 ) 项 至 第 (五 ) 项 规定 标准 五 倍 以 上 
的 ,应 当 认定 为 刑法 第 三 百 六 十 三 条 第 一 款 规定 的 “情节 严重 ”; 达到 规定 标准 二 十 五 倍 以 
上 的 ,应 当 认定 为 “情节 特别 严重 ”。 

第 八条 ”实施 第 四 条 至 第 七 条 规定 的 行为 ,具有 下 列 情形 之 一 的 ,应 当 认 定 行为 人 “ 明 
知 ”, 但 是 有 证 据 证 明确 实 不 知道 的 除外 : 

(一 ) 行政 主管 机 关 书 面 告 知 后 仍然 实施 上 述 行为 的 ; 

(二 ) 接 到 举报 后 不 履行 法 定 管理 职责 的 ; 

(三 ) 为 淫秽 网 站 提供 互联 网 接 入 、 服 务 器 托管 ,网 络 存 储 空间 、 通 讯 传输 通道 \ 代 收费 、 
费用 结算 等 服务 ,收取 服务 费 明 显 高 于 市 场 价格 的 ; 

(四 ) 向 淫秽 网 站 投放 广告 ,广告 点 击 率 明显 异常 的 ; 

(五 ) 其 他 能 够 认定 行为 人 明知 的 情形 。 

第 九条 ”一 年 内 多 次 实施 制作 、 复 制 、 出 版 .贩卖 ,传播 淫秽 电子 信息 行为 未 经 处 理 , 数 
量 或 者 数额 累计 计算 构成 犯罪 的 ,应 当 依 法 定罪 处 罚 。 

第 十 条 ”单位 实施 制作 、 复 制 、 出 版 ,贩卖 ,传播 淫秽 电子 信息 犯罪 的 ,依照 (中 华人 民 共 
和 国 刑法 》《 最 高 人 民法 院 、. 最 高 人 民 检 察 院 关于 办 理 利 用 互联 网 、 移 动 通讯 终端 .声讯 台 制 
作 、 复 制 . 出 版 贩卖、 传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若 干 问题 的 解释 》 和 本 解释 
规定 的 相应 个 人 犯罪 的 定罪 量刑 标准 ,对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 定 罪 处 
罚 , 并 对 单位 判处 罚金 。 

第 十 一 条 ”对 于 以 牟利 为 目的 ,实施 制作 、 复 制 、 出 版 .贩卖 .传播 淫秽 电子 信息 犯罪 的 ， 
人 民法 院 应 当 综 合 考 虑 犯罪 的 违法 所 得 、 社 会 危害 性 等 情节 .依法 判处 罚金 或 者 没收 财产 。 
罚金 数额 一 般 在 违法 所 得 的 一 倍 以 上 五 倍 以 下 。 

第 十 二 条 《最 高 人 民法 院 . 最 高 人 民 检察 院 关 于 办 理 利 用 互联 网 、 移 动 通讯 终端 .声讯 
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台 制 作 、 复 制 `. 出 版 ,贩卖 .传播 淫秽 电子 信息 刑事 案件 具体 应 用 法 律 若干 问题 的 解释 》 和 本 
解释 所 称 网 站 ,是 指 可 以 通过 互联 网 域名 、IP 地 址 等 方式 访问 的 内 容 提供 站 点 。 

以 制作 、 复 制 .出 版 ,贩卖 ,传播 淫秽 电子 信息 为 目的 建立 或 者 建立 后 主要 从 事 制作 、 复 
制 . 出 版 ,贩卖 .传播 淫秽 电子 信息 活动 的 网 站 ,为 淫秽 网 站 。 

第 十 三 条 ”以 前 发 布 的 司法 解释 与 本 解释 不 一 致 的 ,以 本 解释 为 准 。 


附录 13 ”关于 办 理 利用 信息 网 络 实施 诽谤 等 刑事 
案件 适用 法 律 若干 问题 的 解释 


法 释 [2013]21 号 

(2013 年 9 月 5 日 最 高 人 民法 院 审 判 委 员 会 第 1589 次 会 议 .2013 年 9 月 2 日 最 高 人 民 
险 察 院 第 十 二 届 检 察 委员 会 第 9 次 会 议 通 过 ,2013 年 9 月 6 日 最 高 人 民法 院 , 最 高 人 民 检 
察 院 公告 公布 , 自 2013 年 9 月 10 日 起 施行 ) 

为 保护 公民 、 法 人 和 其 他 组 织 的 合法 权益 ,维护 社会 秩序 ,根据 (中 华人 民 共 和 国 刑法 》 
《全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 ) 等 规定 ,对 办 理 利用 信息 网 络 
实施 诽谤 、 寻 邮 滋 事 、 敲 诈 勒 索 , 非 法 经 营 等 刑事 案件 适用 法 律 的 若干 问题 解释 如 下 : 

第 一 条 具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 四 十 六 条 第 一 款 规 定 的 “捏造 事 
实 诽谤 他 人 ”， 

(一 ) 捏造 损害 他 人 名 人 誉 的 事实 ,在 信息 网 络 上 散布 ,或 者 组 织 .指使 人 员 在 信息 网 络 上 
散布 的 ; 

(二 ) 将 信息 网 络 上 涉及 他 人 的 原始 信息 内 容 算 改 为 损害 他 人 名 誉 的 事实 ,在 信息 网 络 
上 散布 ,或 者 组 织 .指使 人 员 在 信息 网 络 上 散布 的 ; 

明知 是 捏造 的 损害 他 人 和 名誉 的 事实 ,在 信息 网 络 上 散布 ,情节 恶劣 的 ,以 "捏造 事实 诽谤 
他 人 ” 论 。 

第 二 条 “利用 信息 网 络 诽谤 他 人 ,具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 四 十 六 
条 第 一 款 规定 的 “情节 严重 ”: 

(一 ) 同一 诽谤 信息 实际 被 点 击 、 浏 览 次 数 达 到 五 千 次 以 上 ,或 者 被 转发 次 数 达 到 五 百 
次 以 上 的 ; 

(二 ) 造成 被 害 人 或 者 其 近亲 属 精 神 失 常 、 自 残 、 自 杀 等 严重 后 果 的 ; 

(三 ) 二 年 内 曾 因 诽谤 受过 行政 处 罚 , 又 诽谤 他 人 的 ; 

(四 ) 其 他 情节 严重 的 情形 。 

第 三 条 利用 信息 网 络 诽谤 他 人 ,具有 下 列 情形 之 一 的 ,应 当 认定 为 刑法 第 二 百 四 十 六 
条 第 二 款 规 定 的 “严重 危害 社会 秩序 和 国家 利益 ”: 

(一 ) 引发 群体 性 事件 的 ; 

(二 ) 引发 公共 秩序 混乱 的 ; 


+ 


民 


(三 ) 引发 民族 、 宗 教 冲突 的 ; 

(四 ) 诽谤 多 人 ,造成 恶劣 社会 影响 的 ; 

(五 ) 损害 国家 形象 ,严重 危害 国家 利益 的 ; 

(六 ) 造成 恶劣 国际 影响 的 ; 

(七 ) 其 他 严重 危害 社会 秩序 和 国家 利益 的 情形 。 

第 四 条 ”一 年 内 多 次 实施 利用 信息 网 络 诽谤 他 人 行为 未 经 处 理 , 诽 谤 信息 实际 被 点 击 、 
浏览 ,转发 次 数 累 计 计 算 构 成 犯罪 的 ,应 当 依法 定罪 处 罚 。 

第 五 条 利用 信息 网 络 辱骂 . 忍 吓 他 人 ,情节 恶劣 ,破坏 社会 秩序 的 ,依照 刑法 第 二 百 九 
十 三 条 第 一 款 第 (二 ) 项 的 规定 ,以 寻 峡 滋事 罪 定罪 处 罚 。 

编造 虚假 信息 ,或 者 明知 是 编造 的 虚假 信息 ,在 信息 网 络 上 散布 ,或 者 组 织 、 指 使 人 员 在 
信息 网 络 上 散布 ,起 哄 闵 事 , 造 成 公共 秩序 严重 混乱 的 ,依照 刑法 第 二 百 九 十 三 条 第 一 款 第 
(四 ) 项 的 规定 ,以 寻 峡 滋事 罪 定罪 处 罚 。 

第 六 条 ”以 在 信息 网 络 上 发 布 . 删 除 等 方式 处 理 网 络 信 息 为 由 ,威胁 、 要 挟 他 人 ,索取 公 
私 财物 ,数额 较 大 ,或 者 多 次 实施 上 述 行为 的 ,依照 刑法 第 二 百 七 十 四 条 的 规定 ,以 敲诈 勒索 
罪 定罪 处 罚 。 

第 七 条 违反 国家 规定 ,以 营利 为 目的 ,通过 信息 网 络 有 偿 提 供 删除 信息 服务 ,或 者 明 
知 是 虚假 信息 ,通过 信息 网 络 有 偿 提 供 发 布 信息 等 服务 ,扰乱 市 场 秩序 ,具有 下 列 情形 之 一 
的 ,属于 非法 经 营 行为 “情节 严重 ”, 依 照 刑 法 第 二 百 二 十 五 条 第 (四 ) 项 的 规定 ,以 非法 经 营 
罪 定罪 处 罚 ， 

(一 ) 个 人 非法 经 营 数额 在 五 万 元 以 上 .或 者 违法 所 得 数额 在 二 万 元 以 上 的 ; 

(二 ) 单位 非法 经 营 数额 在 十 五 万 元 以 上 ,或 者 违法 所 得 数额 在 五 万 元 以 上 的 。 

实施 前 款 规定 的 行为 ,数额 达到 前 款 规定 的 数额 五 倍 以 上 的 ,应 当 认 定 为 刑法 第 二 百 二 
十 五 条 规定 的 “情节 特别 严重 ”。 

第 八条 明知 他 人 利用 信息 网 络 实施 诽谤 、. 寻 峡 滋 事 .敲诈 勒索 .非法 经 营 等 犯罪 ,为 其 
提供 资金 场所、 技术 支持 等 帮助 的 ,以 共同 犯罪 论处 。 

第 九条 ”利用 信息 网 络 实施 诽谤 、 寻 内 滋事 、 项 诈 勒索 ,非法 经 营 犯 罪 ,同时 又 构成 刑法 
第 二 百 二 十 一 条 规定 的 损害 商业 信誉 .商品 声誉 罪 ,第 二 百 七 十 八条 规定 的 煽动 暴力 抗拒 法 
律 实 施 罪 ,第 二 百 九 十 一 条 之 一 规定 的 编造 ,故意 传播 虚假 忍 怖 信息 罪 等 犯罪 的 ,依照 处 罚 
较 重 的 规定 定罪 处 罚 。 

第 十 条 ”本 解释 所 称 信息 网 络 ,包括 以 计算 机 、 电 视 机 、 固 定 电话 机 、 移 动 电话 机 等 电子 
设备 为 终端 的 计算 机 互联 网 .广播 电视 网 、 固 定 通信 网 、 移 动 通信 网 等 信息 网 络 ,以 及 向 公众 
放 的 局 域 网 络 。 
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附录 14 全 国人 民 代 表 大 会 常务 委员 会 关于 维护 
互联 网 安全 的 决定 


(2000 年 12 月 28 日 第 九 届 全 国人 民 代 表 大 会 常务 委员 会 第 十 九 次 会 议 通过 ) 
我 国 的 互联 网 ,在 国家 大 力 倡导 和 积极 推动 下 ,在 经 济 建设 和 各 项 事业 中 得 到 日 益 广泛 
I 应 用 ,使 人 们 的 生产 、 工 作 、 学 习 和 生活 方式 已 经 开始 并 将 继续 发 生 深 刻 的 变化 ,对 于 加 快 
我 国 国民 经 济 、 科 学 技术 的 发 展 和 社会 服务 信息 化 进程 具有 重要 作用 。 同 时 ,如 何 保障 互联 
网 的 运行 安全 和 信息 安全 问题 已 经 引起 全 社会 的 普遍 关注 。 为 了 兴 利 除 弊 ,促进 我 国 互联 
网 的 健康 发 展 ,维护 国家 安全 和 社会 公共 利益 ,保护 个 人 ,法 人 和 其 他 组 织 的 合法 权益 , 特 作 
如 下 决定 : 
一 、 为 了 保障 互联 网 的 运行 安全 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 定 
追究 刑事 责任 : 
(一 ) 侵入 国家 事务 .国防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ; 
(二 ) 故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 网 络 ,致使 计算 
机 系统 及 通信 网 络 遭 受 损害 ; 
(三 ) 违反 国家 规定 ,擅自 中 断 计 算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 系 
统 不 能 正常 运行 。 
二 、 为 了 维护 国家 安全 和 社会 稳定 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 
定 追 究 刑 事 责任 : 
(一 ) 利用 互联 网 造谣 、 诽 谤 或 者 发 表 、 传 播 其 他 有 害 信息 ,煽动 颠覆 国家 政权 、 推 翻 社 
会 主义 制度 ,或 者 煽动 分 裂 国 家 、 破 坏 国家 统一 ; 
(二 ) 通过 互联 网 窃取 、 泄 露 国家 秘密 、 情 报 或 者 军事 秘密 ， 
(三 ) 利用 互联 网 煽动 民族 仇恨 、 民 族 歧 视 , 破 坏 民族 团结 ; 
(四 ) 利用 互联 网 组 织 邪 教 组 织 、. 联 络 收 教 组 织 成 员 ,破坏 国家 法 律 、 行 政法 规 实施 。 
三 、 为 了 维护 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 ,对 有 下 列 行为 之 一 ,构成 犯罪 
的 ,依照 刑法 有 关 规 定 追究 刑事 责任 : 
(一 ) 利用 互联 网 销售 伪劣 产品 或 者 对 商品 、 服 务 作 虚 假 宣传 ; 
(二 ) 利用 互联 网 损坏 他 人 商业 信誉 和 商品 声誉 ; 
(三 ) 利用 互联 网 侵犯 他 人 知识 产权 ; 
(四 ) 利用 互联 网 编造 并 传播 影响 证 券 . 期 货 交 易 或 者 其 他 扰乱 金融 秩序 的 虚假 信息 ; 
(五 ) 在 互联 网 上 建立 淫秽 网 站 、 网 页 ,提供 淫秽 站 点 链接 服务 ,或 者 传播 淫秽 书刊 . 影 
片 . 音 像 、 图 片 。 
四 、 为 了 保护 个 人 、 法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 ,对 有 下 列 行为 之 一 ,构成 
犯罪 的 ,依照 刑法 有 关 规定 追究 刑事 责任 : 
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(一 ) 利用 互联 网 侮辱 他 人 或 者 捏造 事实 诽谤 他 人 ; 

(二 ) 非法 截获 、 算 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 自由 和 通信 
秘密 ; 

(三 ) 利用 互联 网 进行 盗窃 .诈骗 .敲诈 勒索 。 

五 、 利 用 互联 网 实施 本 决定 第 一 条 、 第 二 条 、 第 三 条 、 第 四 条 所 列 行为 以 外 的 其 他 行为 ， 
构成 犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑事 责任 。 

六 、 利 用 互联 网 实施 违法 行为 ,违反 社会 治安 管理 , 尚 不 构成 犯罪 的 ,由 公安 机 关 依 照 
《治安 管理 处 罚 条 例 ) 予 以 处 罚 ; 违反 其 他 法 律 , 行 政法 规 , 尚 不 构成 犯罪 的 ,由 有 关 行 政 管 
理 部 门 依法 给 予 行 政 处 罚 ; 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 , 依 法 给 予 行 政 处 
分 或 者 纪律 处 分 。 

利用 互联 网 侵犯 他 人 合法 权益 ,构成 民事 侵权 的 ,依法 承担 民事 责任 。 

七 、 各 级 人 民政 府 及 有 关 部 门 要 采取 积极 措施 ,在 促进 互联 网 的 应 用 和 网 络 技术 的 普 
及 过 程 中 ,重视 和 支持 对 网 络 安全 技术 的 研究 和 开发 ,增强 网 络 的 安全 防护 能 力 。 有 关 主 管 
部 门 要 加 强 对 互联 网 的 运行 安全 和 信息 安全 的 宣传 教育 ,依法 实施 有 效 的 监督 管理 ,防范 和 
制止 利用 互联 网 进行 的 各 种 违法 活动 ,为 互联 网 的 健康 发 展 创造 良好 的 社会 环境 。 从 事 互 
联网 业务 的 单位 要 依法 开展 活动 ,发 现 互联 网 上 出 现 违 法 犯罪 行为 和 有 害 信息 时 ,要 采取 措 
施 ,停止 传输 有 害 信 息 , 并 及 时 向 有 关机 关 报 告 。 任 何 单位 和 个 人 在 利用 互联 网 时 ,都 要 遵 
纪 守 法 ,抵制 各 种 违法 犯罪 行为 和 有 害 信息 。 人 民法 院 、 人 民 检 察 院 、 公 安 机 关 、 国 家 安全 机 
关 要 各 司 其 职 , 密 切 配 合 ,依法 严厉 打击 利用 互联 网 实施 的 各 种 犯罪 活动 。 要 动员 全 社会 的 
力量 ,依靠 全 社会 的 共同 努力 ,保障 互联 网 的 运行 安全 与 信息 安全 ,促进 社会 主义 精神 文明 
和 物质 文明 建设 。 


附录 15 ”全国 人民 代 表 大 会 常务 委员 会 关于 加 强 
网 络 信息 保护 的 决定 


(2012 年 12 月 28 日 第 十 一 届 全 国人 民 代 表 大 会 常务 委员 会 第 三 十 次 会 议 通 过 ) 

为 了 保护 网 络 信 息 安全 ,保障 公民 、 法 人 和 其 他 组 织 的 合法 权益 ,维护 国家 安全 和 社会 
公共 利益 , 特 作 如 下 决定 : 

一 、 国 家 保护 能 够 识别 公民 个 人 身份 和 涉及 公民 个 人 隐私 的 电子 信息 。 

任何 组 织 和 个 人 不 得 窃取 或 者 以 其 他 非法 方式 获取 公民 个 人 电子 信息 ,不 得 出 售 或 者 
非法 向 他 人 提供 公民 个 人 电子 信息 。 

二 、 网 络 服务 提供 者 和 其 他 企业 事业 单位 在 业务 活动 中 收集 、 使 用 公民 个 人 电子 信息 ， 
应 当 遵循 合法 .正当 、 必 要 的 原则 ,明示 收集 、 使 用 信息 的 目的 、 方 式 和 范围 ,并 经 被 收集 者 同 
意 , 不 得 违反 法 律 、 法 规 的 规定 和 双方 的 约定 收集 、 使 用 信息 。 

网 络 服务 提供 者 和 其 他 企业 事业 单位 收集 、 使 用 公民 个 人 电子 信息 ,应 当 公 开 其 收集 、 


558 网 络 犯罪 侦查 


使 用 规则 。 

三 、 网 络 服务 提供 者 和 其 他 企业 事业 单位 及 其 工作 人 员 对 在 业务 活动 中 收集 的 公民 个 
人 电子 信息 必须 严格 保密 ,不 得 泄露 . 算 改 .毁损 ,不 得 出 售 或 者 非法 向 他 人 提供 。 

四 、 网 络 服务 提供 者 和 其 他 企业 事业 单位 应 当 采 取 技 术 措施 和 其 他 必要 措施 ,确保 信 
息 安全 ,防止 在 业务 活动 中 收集 的 公民 个 人 电子 信息 泄露 .毁损 丢失。 在 发 生 或 者 可 能 发 
生 信息 泄露 .毁损 .丢失 的 情况 时 ,应 当 立 即 采取 补救 措施 。 

五 、 网 络 服务 提供 者 应 当 加 强 对 其 用 户 发 布 的 信息 的 管理 ,发 现 法 律 ,法规 禁 止 发 布 或 
者 传输 的 信息 的 ,应 当 立 即 停止 传输 该 信息 ,采取 消除 等 处 置 措施 ,保存 有 关 记 录 , 并 向 有 关 
主管 部 门 报告 。 

六 、 网 络 服务 提供 者 为 用 户 办 理 网 站 接 和 人 服务 ,办 理 固定 电话 、 移 动 电话 等 人 网 手续 ， 
或 者 为 用 户 提供 信息 发 布 服务 ,应 当 在 与 用 户 签订 协议 或 者 确认 提供 服务 时 ,要 求 用 户 提供 
真实 身份 信息 。 

七 、 任 何 组 织 和 个 人 未 经 电子 信息 接收 者 同意 或 者 请 求 , 或 者 电子 信息 接收 者 明确 表 
示 拒 绝 的 ,不 得 向 其 国定 电话 、 移 动 电话 或 者 个 人 电子 邮箱 发 送 商 业 性 电子 信息 。 

八 、 公 民 发 现 泄露 个 人 身份 .散布 个 人 隐私 等 侵害 其 合法 权益 的 网 络 信息 ,或 者 受到 商 
业 性 电子 信息 侵扰 的 ,有 权 要 求 网 络 服务 提供 者 删除 有 关 信 息 或 者 采取 其 他 必要 措施 予以 
制止 。 

九 、 任 何 组 织 和 个 人 对 窃取 或 者 以 其 他 非法 方式 获取 ,出售 或 者 非法 向 他 人 提供 公民 
个 人 电子 信息 的 违法 犯罪 行为 以 及 其 他 网 络 信息 违法 犯罪 行为 ,有 权 向 有 关 主 管 部 门 举报 、 
控告 ; 接 到 举报 ,控告 的 部 门 应 当 依法 及 时 处 理 。 被 侵权 人 可 以 依法 提起 诉讼 。 

十 、 有 关 主 管 部 门 应 当 在 各 自 职权 范围 内 依法 履行 职责 ,采取 技术 措施 和 其 他 必要 措 
施 ,防范 、 制 止 和 查处 窃取 或 者 以 其 他 非法 方式 获取 、 出 售 或 者 非法 向 他 人 提供 公民 个 人 电 
子 信 息 的 违法 犯罪 行为 以 及 其 他 网 络 信息 违法 犯罪 行为 。 有 关 主 管 部 门 依法 履行 职责 时 ， 
网 络 服务 提供 者 应 当 予 以 配合 ,提供 技术 支持 。 
国家 机 关 及 其 工作 人 员 对 在 履行 职责 中 知悉 的 公民 个 人 电子 信息 应 当 予 以 保密 ,不 得 
泄露 、 自 改 、 毁 损 , 不 得 出 售 或 者 非法 向 他 人 提供 。 

十 一 .对 有 违反 本 决定 行为 的 ,依法 给 予 警告 罚款、 没收 违法 所 得 .吊销 许可 证 或 者 取 
消 备案 .关闭 网 站 、 禁 止 有 关 责任 人 员 从 事 网 络 服务 业务 等 处 罚 , 记 入 社会 信用 档案 并 予以 
公布 ; 构成 违反 治安 管理 行为 的 ,依法 给 予 治安 管理 处 罚 。 构 成 犯罪 的 ,依法 追究 刑事 责 
任 。 侵 害 他 人 民事 权益 的 ,依法 承担 民事 责任 。 

十 二 、 本 决定 自 公布 之 日 起 施行 。 
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附录 16 中华 人民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 
(国务 院 令 第 147 号 ) (节选 ) 


(1994 年 2 月 18 日 国务 院 令 第 147 号 发 布 ) 

第 一 章 总 则 

第 一 条 “为 了 保护 计算 机 信息 系统 的 安全 ,促进 计算 机 的 应 用 和 发 展 ,保障 社会 主义 现 
代 化 建设 的 顺利 进行 ,制定 本 条 例 。 

第 二 条 ”本 条 例 所 称 的 计算 机 信息 系统 ,是 指 由 计算 机 及 其 相关 的 和 配套 的 设备 ,设施 
( 含 网 络 ) 构 成 的 ,按照 一 定 的 应 用 目标 和 规则 对 信息 进行 采集 、 加 工 、 存 储 、 传 输 、 检 索 等 处 
理 的 人 机 系统 。 

第 三 条 计算 机 信息 系统 的 安全 保护 ,应当 保障 计算 机 及 其 相关 的 和 配套 的 设备 .设施 
( 含 网 络 ) 的 安全 ,运行 环境 的 安全 ,保障 信息 的 安全 ,保障 计算 机 功能 的 正常 发 挥 ,以 维护 计 
算 机 信息 系统 的 安全 运行 。 

第 四 条 ”计算 机 信息 系统 的 安全 保护 工作 ,重点 维护 国家 事务 ,经 济 建设 .国防 建设 、 尖 
端 科学 技术 等 重要 领域 的 计算 机 信息 系统 的 安全 。 

第 五 条 ”中 华人 民 共 和 国境 内 的 计算 机 信息 系统 的 安全 保护 ,适用 本 条 例 。 

未 联网 的 微型 计算 机 的 安全 保护 办 法 ,另行 制定 。 

第 六 条 ”公安 部 主管 全 国 计 算 机 信息 系统 安全 保护 工作 。 

国家 安全 部 、 国 家 保密 局 和 国务 院 其 他 有 关 部 门 ,在 国务 院 规定 的 职责 范围 内 做 好 计算 
机 信息 系统 安全 保护 的 有 关 工 作 。 

第 七 条 ”任何 组 织 或 者 个 人 ,不 得 利用 计算 机 信息 系统 从 事 危 害 国家 利益 、 集 体 利益 和 
公民 合法 利益 的 活动 ,不 得 危害 计算 机 信息 系统 的 安全 。 

第 二 章 ”安全 保护 制度 

第 八条 计算 机 信息 系统 的 建设 和 应 用 ,应 当 遵守 法 律 . 行 政法 规 和 国家 其 他 有 关 
规定 。 

第 九条 计算 机 信息 系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 标准 和 安全 等 级 保护 的 
具体 办 法 .由 公安 部 会 同 有 关 部 门 制定 。 

第 十 条 ”计算 机 机 房 应 当 符合 国家 标准 和 国家 有 关 规 定 。 

在 计算 机 机 房 附近 施工 ,不 得 危害 计算 机 信息 系统 的 安全 。 

第 十 一 条 ”进行 国际 联网 的 计算 机 信息 系统 ,由 计算 机 信息 系统 的 使 用 单位 报 省 级 以 
上 人 民政 府 公 安 机 关 备 案 。 

第 十 二 条 ”运输 .携带 .邮寄 计算 机 信息 媒体 进出 境 的 .应 当 如 实 向 海关 申报 。 

第 十 三 条 计算 机 信息 系统 的 使 用 单位 应 当 建立 健全 安全 管理 制度 ,负责 本 单位 计算 
机 信息 系统 的 安全 保护 工作 。 
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第 十 四 条 ”对 计算 机 信息 系统 中 发 生 的 案件 ,有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 
级 以 上 人 民政 府 公安 机 关 报 告 。 

第 十 五 条 ”对 计算 机 病毒 和 危害 社会 公共 安全 的 其 他 有 害 数据 的 防治 研究 工作 ,由 公 
安 部 归口 管理 。 

第 十 六 条 ”国家 对 计算 机 信息 系统 安全 专用 产品 的 销售 实行 许可 证 制度 。 具 体 办 法 由 
公安 部 会 同 有 关 部 门 制定 。 

第 三 章 ”安全 监督 

第 十 七 条 ”公安 机 关 对 计算 机 信息 系统 安全 保护 工作 行使 下 列 监 督 职权 : 

(一 ) 监督 检查、 指导 计算 机 信息 系统 安全 保护 工作 ; 

(二 ) 查处 危害 计算 机 信息 系统 安全 的 违法 犯罪 案件 ; 

(三 ) 履行 计算 机 信息 系统 安全 保护 工作 的 其 他 监督 职责 。 

第 十 八条 ”公安 机 关 发 现 影响 计算 机 信息 系统 安全 的 隐患 时 ,应 当 及 时 通知 使 用 单位 
采取 安全 保护 措施 。 

第 十 九条 ”公安 部 在 紧急 情况 下 ,可 以 就 涉及 计算 机 信息 系统 安全 的 特定 事项 发 布 专 
项 通令 。 

第 四 章 ”法 律 责任 

第 二 十 条 ”违反 本 条 例 的 规定 ,有 下 列 行为 之 一 的 ,由 公安 机 关 处 以 警告 或 者 停机 
整顿 ， 

(一 ) 违反 计算 机 信息 系统 安全 等 级 保护 制度 ,危害 计算 机 信息 系统 安全 的 ; 

(二 ) 违反 计算 机 信息 系统 国际 联网 备案 制度 的 ; 

(三 ) 不 按照 规定 时 间 报 告 计算 机 信息 系统 中 发 生 的 案件 的 ; 

(四 ) 接 到 公安 机 关 要 求 改进 安全 状况 的 通知 后 ,在 限期 内 拒 不 改进 的 ; 

(五 ) 有 危害 计算 机 信息 系统 安全 的 其 他 行为 的 。 

第 二 十 一 条 ”计算 机 机 房 不 符合 国家 标准 和 国家 其 他 有 关 规 定 的 ,或 者 在 计算 机 机 房 
附近 施工 危害 计算 机 信息 系统 安全 的 ,由 公安 机 关 会 同 有 关 单 位 进行 处 理 。 

第 二 十 二 条 ”运输 ,携带 、 邮 和 寄 计 算 机 信息 媒体 进出 境 , 不 如 实 向 海关 申报 的 ,由 海关 依 
照 ( 中 华人 民 共 和 国 海关 法 》 和 本 条 例 以 及 其 他 有 关 法 律 \ 法 规 的 规定 处 理 。 

第 二 十 三 条 ”故意 输入 计算 机 病毒 以 及 其 他 有 害 数据 危害 计算 机 信息 系统 安全 的 ,或 
者 未 经 许可 出 售 计 算 机 信息 系统 安全 专用 产品 的 ,由 公安 机 关 处 以 警告 或 者 对 个 人 处 以 
5000 元 以 下 的 罚款 、 对 单位 处 以 15000 元 以 下 的 罚款 ; 有 违法 所 得 的 , 除 予 以 没收 外 ,可 以 
处 以 违法 所 得 1 至 3 倍 的 罚款 。 

第 二 十 四 条 ”违反 本 条 例 的 规定 ,构成 违反 治安 管理 行为 的 ,依照 (中 华人 民 共 和 国治 
安 管理 处 罚 条 例 ) 的 有 关 规 定 处 罚 ; 构成 犯罪 的 .依法 追究 刑事 责任 。 

第 二 十 五 条 任何 组 织 或 者 个 人 违反 本 条 例 的 规定 ,给 国家 、 集 体 或 者 他 人 财产 造成 
失 的 ,应 当 依法 承担 民事 责任 。 


导 
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第 二 十 六 条 ”当事人 对 公安 机 关 依 照 本 条 例 所 作出 的 具体 行政 行为 不 服 的 ,可 以 依法 
申请 行政 复议 或 者 提起 行政 诉讼 。 
第 二 十 七 条 ”执行 本 条 例 的 国家 公务 员 利用 职权 ,索取 、 收 受贿 赂 或 者 有 其 他 违法 、 失 
职 行为 ,构成 犯罪 的 ,依法 追究 刑事 责任 ; 尚 不 构成 犯罪 的 ,给 予 行政 处 分 。 
第 五 章 附 则 
第 二 十 八条 ”本 条 例 下 列 用 语 的 含义 : 
计算 机 病毒 ,是 指 编 制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数据 ,影响 
计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 
计算 机 信息 系统 安全 专用 产品 ,是 指 用 于 保护 计算 机 信息 系统 安全 的 专用 硬件 和 软件 
产品 。 
第 二 十 九条 ”军队 的 计算 机 信息 系统 安全 保护 工作 ,按照 军队 的 有 关 法 规 执行 。 
第 三 十 条 ”公安 部 可 以 根据 本 条 例 制定 实施 办 法 。 
第 三 十 一 条 ”本 条 例 自发 布 之 日 起 施行 。 


附录 17 最 高 人 民法 院 、 最 高 人 民 检 察 院 关 于 办 理 诈骗 
刑事 案件 具体 应 用 法 律 若干 问题 的 解释 


法 释 [2011]7 号 

(2011 年 2 月 21 日 最 高 人 民法 院 审 判 委 员 会 第 1512 次 会 议 .2010 年 11 月 24 日 最 高 
人 民 检 察 院 第 十 一 届 检 察 委 员 会 第 49 次 会 议 通 过 ) 

为 依法 惩治 诈骗 犯罪 活动 ,保护 公私 财产 所 有 权 ,根据 刑法 ,刑事 诉讼 法 有 关 规 定 , 结 合 
司法 实践 的 需要 , 现 就 办 理 诈骗 刑事 案件 具体 应 用 法 律 的 若干 问题 解释 如 下 : 

第 一 条 ”诈骗 公私 财物 价值 三 千 元 至 一 万 元 以 上 、 三 万 元 至 十 万 元 以 上 、 五 十 万 元 以 上 
的 ,应 当 分 别 认定 为 刑法 第 二 百 六 十 六 条 规定 的 “数额 较 大 ”“ 数 额 巨大 ”“ 数 额 特别 巨大 ”。 

各 省 、 自 治 区 、 直 辖 市 高 级 人 民法 院 、 人 民 检 察 院 可 以 结合 本 地 区 经 济 社会 发 展 状况 ,在 
前 款 规定 的 数额 幅度 内 ,共同 研究 确定 本 地 区 执行 的 具体 数额 标准 , 报 最 高 人 民法 院 、 最 高 
人 民 检 察 院 备案 。 

第 二 条 ”诈骗 公私 财物 达到 本 解释 第 一 条 规定 的 数额 标准 ,具有 下 列 情形 之 一 的 .可 以 
依照 刑法 第 二 百 六 十 六 条 的 规定 酌情 从 严惩 处 ， 

(一 ) 通过 发 送 短信 ,拨打 电话 或 者 利用 互联 网 .广播 电视 .报刊 杂志 等 发 布 虚假 信息 ， 
对 不 特定 多 数 人 实施 诈骗 的 ; 

(二 ) 诈骗 救灾 、 抢 险 、 防 汛 、 优 抚 、 扶 贫 移民、 救济 、 医 疗 款 物 的 ; 

(三 ) 以 赈灾 募捐 名 义 实施 诈骗 的 ; 

(四 ) 诈骗 残疾 人 ,老年 人 或 者 丧失 劳动 能 力 人 的 财物 的 ; 

(五 ) 造成 被 害 人 自杀 、 精 神 失常 或 者 其 他 严重 后 果 的 。 
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诈骗 数额 接近 本 解释 第 一 条 规定 的 “数额 巨大 ”“ 数 额 特别 巨大 ”的 标准 ,并 具有 前 款 规 
定 的 情形 之 一 或 者 属于 诈骗 集团 首要 分 子 的 ,应 当 分 别 认定 为 刑法 第 二 百 六 十 六 条 规定 的 
“其 他 严重 情节 ”“ 其 他 特别 严重 情节 ”。 

第 三 条 ”诈骗 公私 财物 虽 已 达到 本 解释 第 一 条 规定 的 “数额 较 大 ”的 标准 ,但 具有 下 列 
情形 之 一 , 且 行 为 人 认罪 ,悔罪 的 ,可 以 根据 刑法 第 三 十 七 条 \ 刑 事 诉讼 法 第 一 百 四 十 二 条 的 
规定 不 起 诉 或 者 免 予 刑事 处 罚 : 

(一 ) 具有 法 定 从 宽 处 罚 情节 的 ; 

(二 ) 一 审 宣判 前 全 部 退 赃 、 退 赔 的 ; 

(三 ) 没有 参与 分 赃 或 者 获 赃 较 少 且 不 是 主犯 的 ; 

(四 ) 被 害 人 谅解 的 ; 

(五 ) 其 他 情节 轻微 .危害 不 大 的 。 

第 四 条 ”诈骗 近亲 属 的 财物 ,近亲 属 谅解 的 ,一 般 可 不 按 犯罪 处 理 。 

诈骗 近亲 属 的 财物 , 确 有 追究 刑事 责任 必要 的 ,具体 处 理 也 应 酌情 从 宽 。 

第 五 条 诈骗 未 遂 , 以 数额 巨大 的 财物 为 诈骗 目标 的 ,或 者 具有 其 他 严重 情节 的 ,应 当 
定罪 处 罚 。 

利用 发 送 短信 ,拨打 电话 、 互 联网 等 电信 技术 手段 对 不 特定 多 数 人 实施 诈骗 ,诈骗 数额 
难以 查证 ,但 具有 下 列 情形 之 一 的 ,应 当 认 定 为 刑法 第 二 百 六 十 六 条 规定 的 “其 他 严重 情 
节 ”, 以 诈骗 罪 ( 未 遂 ) 定 罪 处 罚 : 

(一 ) 发 送 诈骗 信息 五 千 条 以 上 的 ; 

(二 ) 拨打 诈骗 电话 五 百人 次 以 上 的 ; 

(三 ) 诈骗 手段 恶劣 ,危害 严重 的 。 

实施 前 款 规 定 行为 ,数量 达到 前 款 第 (一 )、( 二 ) 项 规定 标准 十 倍 以 上 的 ,或 者 诈骗 手段 
特别 恶劣 .危害 特别 严重 的 ,应 当 认 定 为 刑法 第 二 百 六 十 六 条 规定 的 “其 他 特别 严重 情节 ”， 
以 诈骗 罪 ( 未 遂 ) 定 罪 处 罚 。 

第 六 条 “诈骗 既 有 既遂 ,又 有 未 遂 ,分 别 达 到 不 同 量刑 幅度 的 ,依照 处 罚 较 重 的 规定 处 
罚 ; 达到 同一 量刑 幅度 的 ,以 诈骗 罪 既 遂 处 罚 。 

第 七 条 ”明知 他 人 实施 诈骗 犯罪 ,为 其 提供 信用 卡 、 手 机 卡 、 通 讯 工具 、 通 讯 传输 通道 、 
网 络 技术 支持 、 费 用 结算 等 帮助 的 ,以 共同 犯罪 论处 。 

第 八条 ”冒充 国家 机 关 工 作 人 员 进 行 诈骗 ,同时 构成 诈骗 罪 和 招摇 撞 骗 罪 的 ,依照 处 罚 
较 重 的 规定 定罪 处 罚 。 

第 九条 案 发 后 查封 .扣押 、 冻 结 在 案 的 诈骗 财物 及 其 草 息 , 权 属 明确 的 ,应 当 发 还 被 害 
人 ; 权 属 不 明确 的 ,可 按 被 骗 款 物 占 查 封 . 扣 押 、 冻 结 在 案 的 财物 及 其 草 息 总 额 的 比例 发 还 
被 害 人 ,但 已 获 退 赔 的 应 予 扣除 。 

第 十 条 行为 人 已 将 诈骗 财物 用 于 清偿 债务 或 者 转让 给 他 人 ,具有 下 列 情形 之 一 的 ,应 
当 依 法 追缴 : 
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(一 ) 对 方 明知 是 诈骗 财物 而 收取 的 ; 

(二 ) 对 方 无 偿 取 得 诈骗 财物 的 ; 

(三 ) 对 方 以 明显 低 于 市 场 的 价格 取得 诈骗 财物 的 ; 

(四 ) 对 方 取得 诈骗 财物 系 源 于 非法 债务 或 者 违法 犯罪 活动 的 。 

他 人 善意 取得 诈骗 财物 的 ,不 予 追缴 。 

第 十 一 条 ”以 前 发 布 的 司法 解释 与 本 解释 不 一 致 的 ,以 本 解释 为 准 。 


附录 18 最 高 人 民法 院 、 最 高 人 民 检 察 院 ( 关 于 办 理 盗 窍 
刑事 案件 适用 法 律 若干 问题 的 解释 》 


(2013 年 3 月 8 日 最 高 人 民法 院 审 判 委 员 会 第 1571 次 会 议 .2013 年 3 月 18 日 最 高 人 
民 检察 院 第 十 二 届 检 察 委员 会 第 1 次 会 议 通 过 ) 

为 依法 惩治 盗窃 犯罪 活动 ,保护 公私 财产 ,根据 (中 华人 民 共 和 国 刑法 》《 中 华人 民 共 和 
国 刑事 诉讼 法 ) 的 有 关 规 定 , 现 就 办 理 盗窃 刑事 案件 适用 法 律 的 若干 问题 解释 如 下 : 

第 一 条 ”盗窃 公私 财物 价值 一 千 元 至 三 千 元 以 上 、 三 万 元 至 十 万 元 以 上 三 十 万 元 至 五 
十 万 元 以 上 的 ,应 当 分 别 认定 为 刑法 第 二 百 六 十 四 条 规定 的 “数额 较 大 ”“ 数 额 巨大 ”“ 数 额 
特别 巨大 ”。 

各 省 、 自 治 区 、 直 辖 市 高 级 人 民法 院 、 人 民 检 察 院 可 以 根据 本 地 区 经 济 发 展 状况 ,并 考虑 
社会 治安 状况 ,在 前 款 规 定 的 数额 幅度 内 ,确定 本 地 区 执行 的 具体 数额 标准 , 报 最 高 人 民法 
院 ` 最 高 人 民 检 察 院 批准 。 

在 跨 地 区 运行 的 公共 交通 工具 上 盗窃 ,盗窃 地 点 无 法 查证 的 ,盗窃 数额 是 否 达到 "数额 
较 大 ”“ 数 额 巨大 “数额 特别 巨大 ”, 应 当 根 据 受 理 案件 所 在 地 省 .自治 区 ,直辖市 高 级 人 民 
法 院 、 人 民 检 察 陀 确 定 的 有 关 数 下 标准 计 完 。 

资 究 毒品 等 违禁 品 ,应 当 按 照 盗 穷 罪 处 理 的 ,根据 情节 轻重 量刑 。 

第 二 条 ”盗窃 公 私 财物 ,具有 下 列 情形 之 一 的 “数额 较 大 ”的 标准 可 以 按照 前 条 规定 标 
准 的 百 分 之 五 十 确定 : 

(一 ) 曾 因 盗窃 受过 刑事 处 罚 的 ; 

(二 ) 一 年 内 曾 因 资 穷 受过 行政 处 罚 的 ; 

(三 ) 组 织 、 控 制 未 成 年 人 盗窃 的 ; 

(四 ) 自然 灾害 .事故 灾害 、 社 会 安全 事件 等 突 发 事件 期 间 , 在 事件 发 生地 盗窃 的 ; 

(五 ) 盗窃 残疾 人 、 扳 赛 老人 、 丧 失 劳动 能 力 人 的 财物 的 ; 

(六 ) 在 医院 盗窃 病人 或 者 其 亲友 财物 的 ; 

(七 ) 盗窃 救灾 ,抢险 防汛. 优抚、 扶贫、 移民 ,救济 款 物 的 ; 

( 八 ) 因 盗 穷 造成 严重 后 果 的 。 

第 三 条 ”二 年 内 盗窃 三 次 以 上 的 ,应 当 认 定 为 多 次 盗窃 ”。 
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非法 进入 供 他 人 家 庭 生活 ,与 外 界 相对 隔离 的 住所 盗窃 的 ,应 当 认 定 为 "和 人 户 盗 窃 ”。 

携带 枪支 .爆炸 物 、 管 制 刀 具 等 国家 禁止 个 人 携带 的 器 械 盗窃 ,或 者 为 了 实施 违法 犯罪 
携带 其 他 足以 危害 他 人 人 身 安全 的 器 械 盗 窃 的 ,应 当 认 定 为 “携带 凶器 盗窃 ”。 

在 公共 场所 或 者 公共 交通 工具 上 盗窃 他 人 随身 携带 的 财物 的 ,应 当 认定 为 " 扒 窃 ”。 

第 四 条 “盗窃 的 数额 ,按照 下 列 方法 认定 : 

(一 ) 被 瓷 财 物 有 有 效 价格 证 明 的 ,根据 有 效 价格 证 明 认定 ; 无 有 效 价 格 证 明 ,或 者 根 
据 价 格 证 明 认定 盗窃 数额 明显 不 合理 的 ,应 当 按照 有 关 规 定 委 托 估价 机 构 估 价 ; 

(二 ) 盗窃 外 币 的 ,按照 盗窃 时 中 国外 汇 交 易 中 心 或 者 中 国人 民 银 行 授权 机 构 公 布 的 人 
民 币 对 该 货币 的 中 间 价 折合 成 人 民 币 计算 ; 中 国外 汇 交 易 中 心 或 者 中 国人 民 银 行 授权 机 构 
未 公布 汇率 中 间 价 的 外 币 ,按照 盗 穷 时 境内 银行 人 民 币 对 该 货币 的 中 间 价 折算 成 人 民 币 ,或 
者 该 货币 在 境内 银行 .国际 外 汇市 场 对 美元 汇率 ,与 人 民 币 对 美元 汇率 中 间 价 进行 套 算 ; 

(三 ) 盗窃 电力 燃气. 自来水 等 财物 ,盗窃 数 量 能 够 查实 的 ,按照 查实 的 数量 计算 盗窃 
数额 ; 盗窃 数 量 无 法 查实 的 ,以 盗窃 前 六 个 月 月 均 正 常用 量 减 去 盗窃 后 计量 仪表 显示 的 月 
均 用 量 推算 盗窃 数 额 ; 盗窃 前 正常 使 用 不 足 六 个 月 的 ,按照 正常 使 用 期 间 的 月 均 用 量 减 去 
盗窃 后 计量 仪表 显示 的 月 均 用 量 推算 盗窃 数额 ; 

(四 ) 明知 是 资 接 他 人 通信 线路 .复制 他 人 电信 码 号 的 电信 设备 .设施 而 使 用 的 ,按照 合 
法 用 户 为 其 支付 的 费用 认定 资 欠 数额 ; 无 法 直接 确认 的 ,以 合法 用 户 的 电信 设备 .设施 被 资 
接 、. 复 制 后 的 月 缴费 额 减 去 被 盗 接 、 复 制 前 六 个 月 的 月 均 电 话费 推算 盗窃 数额 ; 合法 用 户 使 
用 电信 设备 ,设施 不 足 六 个 月 的 ,按照 实际 使 用 的 月 均 电 话费 推算 盗窃 数额 ; 

(五 ) 盗 接 他 人 通信 线路 、 复 制 他 人 电信 码 号 出 售 的 ,按照 销赃 数额 认定 盗窃 数 额 。 

资 究 行为 给 失主 造成 的 损失 大 于 盗窃 数额 的 ,损失 数额 可 以 作为 量刑 情节 考虑 。 

第 五 条 ”盗窃 有 价 支付 任 证 ,有 价 证 券 ` 有 价 票证 的 ,按照 下 列 方法 认定 盗窃 数额 : 

(一 ) 盗窃 不 记名 不 挂失 的 有 价 支付 凭证 ,有 价 证 券 ` 有 价 票证 的 ,应 当 按 票面 数额 和 
盗窃 时 应 得 的 荀 息 .奖金 或 者 奖品 等 可 得 收益 一 并 计算 盗窃 数额 ; 

(二 ) 盗窃 记名 的 有 价 支 付 凭证 有 价 证 券 有 价 票 证 ,已 经 兑现 的 ,按照 兑现 部 分 的 财 
物价 值 计算 盗窃 数额 ; 没有 兑现 ,但 失主 无 法 通过 挂失 、 补 领 ` 补 办 手续 等 方式 避免 损失 的 ， 
按照 给 失主 造成 的 实际 损失 计算 盗窃 数额 。 

第 六 条 ”盗窃 公私 财物 ,具有 本 解释 第 二 条 第 三 项 至 第 八 项 规定 情形 之 一 .或 者 入 户 资 
窃 携带 凶器 盗 穷 ,数额 达到 本 解释 第 一 条 规定 的 “数额 巨大 ”“ 数 额 特别 巨大 ” 百 分 之 五 十 
的 ,可 以 分 别 认定 为 刑法 第 二 百 六 十 四 条 规定 的 “其 他 严重 情节 ?或 者 "其 他 特别 严重 情节 ”。 

第 七 条 ”盗窃 公 私 财物 数额 较 大 ,行为 人 认罪 ,悔罪 . 退 赃 ,退赔 , 且 具 有 下 列 情 形 之 一 ， 
情节 轻微 的 ,可 以 不 起 诉 或 者 免 子 刑事 处 罚 ; 必要 时 ,由 有 关 部 门 予 以 行政 处 罚 : 

(一 ) 具有 法 定 从 宽 处 罚 情节 的 ; 

(二 ) 没有 参与 分 赃 或 者 获 赃 较 少 且 不 是 主犯 的 ; 

(三 ) 被 害 人 谅解 的 ; 
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(四 ) 其 他 情节 轻微 .危害 不 大 的 。 

第 八条 ” 偷 拿 家 庭 成 员 或 者 近亲 属 的 财物 ,获得 谅解 的 ,一 般 可 不 认为 是 犯罪 ; 追究 刑 
事 责任 的 ,应 当 酌情 从 宽 。 

第 九条 盗 窍 国 有 馆藏 一 般 文物 .三 级 文物 、 二 级 以 上 文物 的 ,应 当 分 别 认定 为 刑法 第 
二 百 六 十 四 条 规定 的 “数额 较 大 ”、“ 数 额 巨 大 ”、“ 数 额 特别 巨大 ”。 

盗窃 多 件 不 同等 级 国有 馆藏 文物 的 ,三 件 同 级 文物 可 以 视 为 一 件 高 一 级 文物 。 

盗窃 民间 收藏 的 文物 的 ,根据 本 解释 第 四 条 第 一 款 第 一 项 的 规定 认定 盗窃 数 额 。 

第 十 条 ” 偷 开 他 人 机 动车 的 ,按照 下 列 规定 处 理 : 

(一 ) 偷 开机 动车 ,导致 车 辆 丢失 的 ,以 盗窃 罪 定罪 处 罚 ; 

(二 ) 为 盗窃 其 他 财物 , 偷 开 机 动车 作为 犯罪 工具 使 用 后 非法 占有 车 辆 ,或 者 将 车 辆 遗 
弃 导 致 丢失 的 ,被 盗 车 辆 的 价值 计 入 盗窃 数额 ; 

(三 ) 为 实施 其 他 犯罪 , 偷 开机 动车 作为 犯罪 工具 使 用 后 非法 占有 车 辆 ,或 者 将 车 辆 遗 
弃 导 致 丢失 的 ,以 盗窃 罪 和 其 他 犯罪 数 罪 并 罚 ; 将 车 辆 送 回 未 造成 丢失 的 ,按照 其 所 实施 的 
其 他 犯罪 从 重 处 罚 。 

第 十 一 条 ” 资 穷 公私 财物 并 造成 财物 损毁 的 ,按照 下 列 规定 处 理 : 

(一 ) 采用 破坏 性 手段 盗窃 公私 财物 ,造成 其 他 财物 损毁 的 ,以 盗窃 罪 从 重 处 罚 ; 同时 
构成 资 窃 罪 和 其 他 犯罪 的 , 择 一 重罪 从 重 处 罚 ; 

(二 ) 实施 盗窃 犯罪 后 ,为 掩盖 罪行 或 者 报复 等 ,故意 毁坏 其 他 财物 构成 犯罪 的 ,以 盗窃 
罪 和 构成 的 其 他 犯罪 数 罪 并 罚 ， 

(三 ) 盗窃 行为 未 构成 犯罪 ,但 损毁 财物 构成 其 他 犯罪 的 ,以 其 他 犯罪 定罪 处 罚 。 

第 十 二 条 ”盗窃 未 遂 , 具 有 下 列 情形 之 一 的 ,应 当 依法 追究 刑事 责任 ， 

(一 ) 以 数额 巨大 的 财物 为 盗窃 目标 的 ; 

(二 ) 以 珍贵 文物 为 盗窃 目标 的 ; 

(三 ) 其 他 情节 严重 的 情形 。 

盗窃 既 有 既遂 ,又 有 未 遂 , 分 别 达 到 不 同 量刑 幅度 的 ,依照 处 罚 较 重 的 规定 处 罚 ; 达到 
同一 量刑 幅度 的 ,以 盗窃 罪 既 遂 处 罚 。 

第 十 三 条 ”单位 组 织 、 指 使 盗窃 ,符合 刑法 第 二 百 六 十 四 条 及 本 解释 有 关 规 定 的 ,以 盗 
窃 罪 追究 组 织 者 、 指 使 者 .直接 实施 者 的 刑事 责任 。 

第 十 四 条 ” 因 犯 盗窃 罪 ,依法 判处 罚金 刑 的 ,应 当 在 一 千 元 以 上 盗窃 数额 的 二 倍 以 下 判 
处 罚金 ; 没有 盗窃 数 额 或 者 盗窃 数 额 无 法 计算 的 ,应 当 在 一 千 元 以 上 十 万 元 以 下 判处 罚金 。 

第 十 五 条 本 解释 发 布 实施 后 《最 高 人 民法 院 关 于 审理 盗窃 案件 具体 应 用 法 律 若干 问 
题 的 解释 (法 释 L1998]4 号 ) 同 时 废止 ; 之 前 发 布 的 司法 解释 和 规范 性 文件 与 本 解释 不 一 
致 的 ,以 本 解释 为 准 。 
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附录 19 ”关于 办 理 组 织 领导 传销 活动 刑事 案件 
适用 法 律 若干 问题 的 意见 


公 通 字 [2013]37 号 

各 省 、 自 治 区 、 直 辖 市 高 级 人 民法 院 , 人 民 检 察 院 , 公 安 厅 、 局 ,解放 军 军事 法 院 、 军 事 检 
察 院 , 新 疆 维吾尔 自治 区 高 级 人 民法 院 生 产 建设 兵团 分 院 , 新 疆 生 产 建设 兵团 人 民 检 察 院 、 
公安 局 : 

为 解决 近年 来 公安 机 关 、 人 民 检 察 院 、 人 民法 院 在 办 理 组 织 、 领 导 传 销 活动 刑事 案件 中 
遇 到 的 问题 ,依法 惩治 组 织 、 领 导 传销 活动 犯罪 ,根据 刑法 、 刑 事 诉讼 法 的 规定 ,结合 司法 实 
践 , 现 就 办 理 组 织 、 领 导 传销 活动 刑事 案件 适用 法 律 问题 提出 以 下 意见 : 

一 、 关 于 传销 组 织 层级 及 人 数 的 认定 问题 

以 推销 商品 .提供 服务 等 经 营 活动 为 名 ,要 求 参加 者 以 缴纳 费用 或 者 购买 商品 .服务 等 
方式 获得 加 入 资格 ,并 按照 一 定 顺序 组 成 层级 ,直接 或 者 间接 以 发 展 人 员 的 数量 作为 计酬 或 
者 返利 依据 ,引诱 ,胁迫 参加 者 继续 发 展 他 人 参加 ,骗取 财物 ,扰乱 经 济 社会 秩序 的 传销 组 
织 , 其 组 织 内 部 参与 传销 活动 人 员 在 三 十 人 以 上 且 层 级 在 三 级 以 上 的 ,应 当 对 组 织 者 、 领 导 
者 追究 刑事 责任 。 

组 织 、 领 导 多 个 传销 组 织 , 单 个 或 者 多 个 组 织 中 的 层级 已 达 三 级 以 上 的 ,可 将 在 各 个 组 
织 中 发 展 的 人 数 合并 计算 。 

组 织 者 、 领 导 者 形式 上 脱离 原 传销 组 织 后 ,继续 从 原 传销 组 织 获 取 报 酬 或 者 返利 的 , 原 
传销 组 织 在 其 脱离 后 发 展 人 员 的 层级 数 和 人 数 ,应 当 计 算 为 其 发 展 的 层级 数 和 人 数 。 

办 理 组 织 、 领 导 传销 活动 刑事 案件 中 , 确 因 客观 条 件 的 限制 无 法 逐一 收集 参与 传销 活动 
人 员 的 言词 证 据 的 ,可 以 结合 依法 收集 并 查证 属实 的 缴纳 、 支 付费 用 及 计酬 .返利 记录 ,视听 
资料 ,传销 人 员 关 系 图 ,银行 账户 交易 记录 ,互联 网 电子 数据 ,鉴定 意见 等 证 据 , 综 合 认 定 参 
与 传销 的 人 数 .层级 数 等 犯罪 事实 。 

二 、 关 于 传销 活动 有 关 人 员 的 认定 和 处 理 问题 

下 列 人 员 可 以 认定 为 传销 活动 的 组 织 者 、 领 导 者 : 

(一 ) 在 传销 活动 中 起 发 起 、 策 划 、 操 纵 作用 的 人 员 ; 

(二 ) 在 传销 活动 中 承担 管理 ,协调 等 职责 的 人 员 ; 

(三 ) 在 传销 活动 中 承担 宣传 .培训 等 职责 的 人 员 ; 
(四 ) 曾 因 组 织 、 领 导 传销 活动 受过 刑事 处 罚 ,或 者 一 年 以 内 因 组 织 、 领 导 传销 活动 受过 
行政 处 罚 , 又 直接 或 者 间接 发 展 参 与 传销 活动 人 员 在 十 五 人 以 上 且 层 级 在 三 级 以 上 的 人 员 ; 
(五 ) 其 他 对 传销 活动 的 实施 ,传销 组 织 的 建立 、 扩 大 等 起 关键 作用 的 人 员 。 
以 单位 名 义 实施 组 织 、 领 导 传销 活动 犯罪 的 ,对 于 受 单位 指派 , 仅 从 事 劳务 性 工作 的 人 
员 ,一般 不 予 追究 刑事 责任 。 
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三 、 关 于 “骗取 财物 ”的 认定 问题 

传销 活动 的 组 织 者 、 领 导 者 采取 编造 、 牌 曲 国家 政策 ,虚构 .夸大 经 营 、 投 资 ,服务 项 目 及 
营利 前 景 ,掩饰 计酬 .返利 真实 来 源 或 者 其 他 欺诈 手段 ,实施 刑法 第 二 百 二 十 四 条 之 一 规定 
的 行为 ,从 参与 传销 活动 人 员 缴 纳 的 费用 或 者 购买 商品 .服务 的 费用 中 非法 获 利 的 ,应 当 认 
定 为 骗取 财物 。 参 与 传销 活动 人 员 是 否认 为 被 骗 .不 影响 骗取 财物 的 认定 。 

四 、 关 于 “情节 严重 ”的 认定 问题 

对 符合 本 意见 第 一 条 第 一 款 规定 的 传销 组 织 的 组 织 者 、 领 导 者 ,具有 下 列 情形 之 一 的 ， 
应 当 认 定 为 刑法 第 二 百 二 十 四 条 之 一 规定 的 “情节 严重 ”: 

(一 ) 组 织 、 领 导 的 参与 传销 活动 人 员 累 计 达 一 百 二 十 人 以 上 的 ; 

(二 ) 直接 或 者 间接 收取 参与 传销 活动 人 员 缴 纳 的 传销 资金 数额 累计 达 二 百 五 十 万 元 
以 上 的 ; 

(三 ) 曾 因 组 织 、 领 导 传销 活动 受过 刑事 处 罚 , 或 者 一 年 以 内 因 组 织 、 领 导 传销 活动 受过 
行政 处 罚 , 又 直接 或 者 间接 发 展 参 与 传销 活动 人 员 累 计 达 六 十 人 以 上 的 ; 

(四 ) 造成 参与 传销 活动 人 员 精 神 失 常 、 自 杀 等 严重 后 果 的 ; 

(五 ) 造成 其 他 严重 后 果 或 者 恶劣 社会 影响 的 。 

五 、 关 于 “团队 计酬 "行为 的 处 理 问 题 

传销 活动 的 组 织 者 或 者 领导 者 通过 发 展 人 员 ,要 求 传销 活动 的 被 发 展 人 员 发 展 其 他 人 
员 加 入 ,形成 上 下 线 关 系 ,并 以 下 线 的 销售 业绩 为 依据 计算 和 给 付 上 线 报酬 ,牟取 非法 利益 
的 ,是 “团队 计酬 ? 式 传销 活动 。 

以 销售 商品 为 目的 .以 销售 业绩 为 计酬 依据 的 单纯 的 “团队 计酬 ? 式 传销 活动 ,不 作为 犯 
罪 处 理 。 形 式 上 采取 “团队 计酬 "方式 ,但 实质 上 属于 “以 发 展 人 员 的 数量 作为 计酬 或 者 返利 
依据 ”的 传销 活动 ,应当 依照 刑法 第 二 百 二 十 四 条 之 一 的 规定 ,以 组 织 、 领 导 传销 活动 罪 定罪 
处 罚 。 

六 、 关 于 罪名 的 适用 问题 

以 非法 占有 为 目的 ,组 织 、 领 导 传销 活动 ,同时 构成 组 织 、 领 导 传销 活动 罪 和 集资 诈骗 罪 
的 ,依照 处 罚 较 重 的 规定 定罪 处 罚 。 

犯 组 织 \ 领 导 传销 活动 罪 ,并 实施 故意 伤害 ,非法 拘禁 、 项 诈 勒索 ,妨害 公务 、 聚 众 扰乱 社 
会 秩序 .聚众 冲击 国家 机 关 、 聚 众 扰乱 公共 场所 秩序 .交通 秩序 等 行为 ,构成 犯罪 的 ,依照 数 
罪 并 罚 的 规定 处 罚 。 

七 、 其 他 问题 
本 意见 所 称 * 以 上 ”“ 以 内 ”, 包 括 本 数 。 

本 意见 所 称 “ 层 级 ”和 “级 ”, 系 指 组 织 者 、 领 导 者 与 参与 传销 活动 人 员 之 间 的 上 下 线 关系 
层次 ,而 非 组 织 者 、 领 导 者 在 传销 组 织 中 的 身份 等 级 。 

对 传销 组 织 内 部 人 数 和 层级 数 的 计算 ,以 及 对 组 织 者 、 领 导 者 直接 或 者 间接 发 展 参 与 传 
销 活 动人 员 人 数 和 层级 数 的 计算 ,包括 组 织 者 、 领 导 者 本 人 及 其 本 层级 在 内 。 
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附录 20 ”关于 办 理 流动 性 团伙 性 跨 区 域 性 
犯罪 案件 有 关 问 题 的 意见 


公安 部 ”最 高 人 民法 院 ”最 高 人 民 检 察 院 国 家 安全 部 ”工业 和 信息 化 部 ”中 国人 民 银 

行 中 国 银行 业 监 督 管理 委员 会 2011 年 5 月 1 日 
公 通 字 [2011]14 号 

为 有 效 惩治 流动 性 、 团 伙 性 、 跨 区 域 性 犯罪 活动 ,保障 公民 合法 权益 ,维护 社会 治安 稳 
定 , 根 据 ( 中 华人 民 共 和 国 刑法 》《 中 华人 民 共 和 国 刑事 诉讼 法 ) 等 有 关 法 律 规定 ,结合 工作 
实际 ,制定 本 意见 。 

第 一 条 ”流动 性 .团伙 性 、 跨 区 域 性 犯罪 案件 ,由 犯罪 地 的 公安 机 关 、 人 民 检 察 院 、 人 民 
法 院 管辖 。 如 果 由 犯罪 嫌疑 人 、 被 告 人 居住 地 的 公安 机 关 、 人 民 检 察 院 .人 民法 院 管辖 更 为 
适宜 的 ,可 以 由 犯罪 嫌疑 人 、 被 告 人 居住 地 的 公安 机 关 、 人 民 检 察 院 、 人 民法 院 管辖 。 犯 罪 地 
包括 犯罪 行为 发 生地 和 犯罪 结果 发 生地 。 犯 罪 嫌 疑 人 、 被 告 人 居住 地 包括 经 常 居住 地 ,户籍 
所 在 地 。 

前 款 中 所 称 “ 犯 罪行 为 发 生地 ”包括 被 害 人 接 到 诈骗 .项 诈 勒 索 电话 、 短 信息 、 电 子 邮件 、 
信件 、 传 真 等 犯罪 信息 的 地 方 ,以 及 犯罪 行为 持续 发 生 的 开始 地 、 流 转 地 结束 地 ;“ 犯 罪 结 
果 发 生地 ”包括 被 害 人 向 犯罪 嫌疑 人 、 被 告 人 指定 的 账户 转账 或 存款 的 地 方 ,以 及 犯罪 所 得 
的 实际 取得 地 、 藏 匿 地 、 转 移 地 、 使 用 地 、 销 售 地 。 

第 二 条 ” 几 个 公安 机 关 都 有 管辖 权 的 案件 ,由 最 初 受理 的 公安 机 关 管 辖 。 对 管辖 有 争 
议 的 ,应 当 本 着 有 利于 查 清 犯 罪 事 实 , 有 利于 诉讼 的 原则 ,协商 解决 。 经 协商 无 法 达成 一 致 
的 , 报 共同 的 上 级 公安 机 关 指 定 管辖 。 

第 三 条 ”有 下 列 情形 之 一 的 ,主办 地 公安 机 关 可 以 依照 法 律 和 有 关 规 定 对 全 部 人 员 和 
全 部 案件 一 并 立案 侦查 ,需要 提请 批准 逮捕 、 移 送审 查 起 诉 、 提 起 公诉 的 ,由 该 公安 机 关 所 在 
地 的 同 级 人 民 检 察 院 、 人 民法 院 受理 : 

(一 ) 一 人 在 两 个 以 上 县 级 行政 区 域 作案 的 ; 

(二 ) 一 人 在 一 地 利用 电话 、 网 络 、 信 件 等 通讯 工具 和 媒介 以 非 接触 性 的 方式 作案 ,涉及 
两 个 以 上 县 级 行政 区 域 的 被 害 人 的 ; 

(三 ) 两 人 以 上 结伙 在 两 个 以 上 县 级 行政 区 域 共同 作案 的 ; 

(四 ) 两 人 以 上 结伙 在 一 地 利用 电话 、 网 络 \ 信 件 等 通讯 工具 和 媒介 以 非 接触 性 的 方式 
共同 作案 ,涉及 两 个 以 上 县 级 行政 区 域 的 被 害 人 的 ; 

(五 ) 三 人 以 上 时 分 时 合 ,交叉 结伙 在 两 个 以 上 县 级 行政 区 域 作案 的 ; 

(六 ) 跨 区 域 实施 的 涉及 同一 犯罪 对 象 的 盗窃 、 抢 动 .抢夺 ,诈骗 .敲诈 勒索 以 及 掩饰 、 隐 
上 螨 犯罪 所 得 、 犯 罪 所 得 收益 行为 的 。 

第 四 条 ”人 民 检 察 院 对 于 公安 机 关 移 送审 查 起 诉 的 案件 ,人 民法 院 对 于 已 进入 审判 程 
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序 的 案件 ,当事人 法 定 代理 人 、` 诉 讼 代理 人 、 辩 护 人 提出 管辖 异议 的 ,或 者 办 案 单 位 发 现 没 
有 管辖 权 的 , 受 案 的 人 民 检 察 院 、 人 民法 院 经 审查 ,可 以 报请 与 有 管辖 权 的 人 民 检 察 院 、 人 民 
法 院 共同 的 上 级 人 民 检 察 院 、 人 民法 院 指定 管辖 。 

第 五 条 ”办 案 地 公安 机 关 跨 区 域 查询 . 调 取 银行 账户 、 网 站 等 信息 ,或 者 跨 区 域 查询 \ 冻 
结 涉案 银行 存款 ,、 汇 款 ,可 以 通过 公安 机 关 信 息 化 应 用 系统 传输 加 盖 电 子 签 章 的 办 案 协 作 函 
和 相关 法 律 文书 及 凭证 ,或 者 将 办 案 协作 函 和 相关 法 律 文书 及 凭证 电 传 至 协作 地 县 级 以 上 
公安 机 关 。 办 理 跨 区 域 查 询 、 调 取 电 话 信息 的 ,由 地 市 以 上 公安 机 关 办 理 。 

协作 地 公安 机 关 接 收 后 ,经 审查 确认 ,在 传 来 法 律 文书 上 加 盖 本 地 公安 机 关 印 章 , 到 银 
行 . 电 信 等 部 门 查询 、 调 取 相 关 证 据 或 者 查询 冻结 银行 存款 .汇款 ,银行 .电信 等 部 门 应 当 予 
以 配合 。 

第 六 条 ”办案 地 公安 机 关 夸 区 域 调 取 犯 罪 嫌疑 人 、` 被 告 人 的 户籍 证 明 ,可 以 通过 公安 机 
关 信 息 化 应 用 系统 获取 ,加 盖 本 地 公安 机 关 印 章 。 调 取 时 不 得 少 于 二 人 ,并 应 当 记载 调 取 的 
时 间 、 使 用 的 电脑 等 相关 信息 ,经 审核 证 明 真 实 的 ,可 以 作为 诉讼 证 据 。 有 下 列 情 形 之 一 的 ， 
应 当 调 取 原 始 户 籍 证 明 , 但 犯罪 嫌疑 人 、 被 告 人 没有 户籍 或 者 真实 姓名 无 法 查 明 的 除外 : 

(一 ) 犯罪 嫌疑 人 、 被 告 人 可 能 是 未 满 十 八 周岁 或 者 已 满 七 十 五 周岁 人 的 ; 

(二 ) 可 能 判处 五 年 有 期 徒刑 以 上 刑罚 的 ; 

(三 ) 犯罪 嫌疑 人 被告 人 被害 人 ,辩护 人 和 诉讼 代理 人 对 采取 本 条 第 一 款 规 定 方式 所 
调 取 的 户籍 证 明 提 出 异议 的 。 

第 七 条 对 部 分 共同 犯罪 嫌疑 人 、 被 告 人 在 逃 的 案件 , 现 有 证 据 能 够 认定 已 到 案犯 罪 嫌 
疑 人 、 被 告 人 为 共同 犯罪 的 ,可 以 先行 追究 已 到 案犯 罪 嫌 疑 人 、 被 告 人 的 刑事 责任 。 

第 八条 ”本 意见 所 称 的 “流动 性 犯罪 案件 ”, 是 指 跨 县 级 行政 区 域 连续 作案 ,或 者 在 居住 
地 作案 后 逃跑 到 其 他 县 级 行政 区 域 继续 作案 ;“ 团 伙 性 犯罪 案件 ”, 是 指 二 人 以 上 共同 作案 
或 者 三 人 以 上 交叉 结伙 作案 ;“ 跨 区 域 性 犯罪 案件 ”, 是 指 犯罪 案件 涉及 两 个 以 上 县 级 行政 
区 域 。 

第 九条 ”本 意见 所 称 以 上 、 以 下 ,包括 本 数 在 内 。 

第 十 条 ”国家 安全 机 关 侦 办 流动 性 、 团 伙 性 、 跨 区 域 性 犯罪 案件 适用 本 意见 。 涉 及 跨 区 
域 调 取 有 关 犯 罪 嫌 疑 人 户籍 证 明 的 ,公安 机 关 应 予以 配合 。 

第 十 一 条 “本 意见 自 二 O 〇 一 一 年 五 月 一 日 起 施行 。 


附录 21 关于 依法 惩处 侵害 公民 个 人 信息 
犯罪 活动 的 通知 
公 通 字 [2013]12 号 


各 省 .自治 区 直辖 市 高 级 人 民法 院 , 人 民 检 察 院 ,公安 厅 、 局 ,新 疆 维吾尔 自治 区 
民法 院 生产 建设 兵团 分 院 , 新 疆 生 产 建 设 兵 团 人 民 检 察 院 公安 局 : 


部 
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近年 来 , 随 着 我 国 经 济 快速 发 展 和 信息 网 络 的 广泛 普及 ,侵害 公民 个 人 信息 的 违法 犯罪 
日 益 突 出 ,互联 网 上 非法 买卖 公民 个 人 信息 泛滥 ,由 此 滋生 的 电信 诈骗 ` 网 络 诈骗 .敲诈 勒 
索 、 绑 架 和 非法 讨债 等 犯罪 屡 打 不 绝 , 社 会 危害 严重 ,群众 反响 强烈 。 为 有 效 遏 制 、 惩 治 侵害 
公民 个 人 信息 犯罪 ,切实 保障 广大 人 民 和 群众 的 个 人 信息 安全 和 合法 权益 ,促进 社会 协调 发 
展 ,维护 社会 和 谐 稳 定 , 现 就 有 关 事 项 通知 如 下 : 

一 、 切 实 提高 认识 ,坚决 打击 侵害 公民 个 人 信息 犯罪 活动 。 当 前 ,一 些 犯 罪 分 子 为 追逐 
不 法 利益 ,利用 互联 网 大 肆 倒 卖 公 民 个 人 信息 ,已 逐渐 形成 庞大 * 地 下 产业 ”和 黑色 利益 链 。 
买卖 的 公民 个 人 信息 包括 户籍 .银行 .电信 开户 资料 等 ,涉及 公民 个 人 生活 的 方方面面 。 部 
分 国家 机 关 和 金融 ,电信 交通、 教育 .医疗 以 及 物业 公司 房产 中 介 、 保 险 、 快 递 等 企 事业 单 
位 的 一 些 工 作 人 员 ,将 在 履行 职责 或 者 提供 服务 过 程 中 获取 的 公民 个 人 信息 出 售 ,非法 提供 
给 他 人 。 获 取信 息 的 中 间 商 存 互 联网 上 建立 数据 平台 ,大 肆 出 售 信息 牟取 暴利 。 非 法 调查 
公司 根据 这 些 信息 从 事 非 法 讨债 .诈骗 和 敲诈 勒索 等 违法 犯罪 活动 。 此 类 犯罪 不 仅 严重 危 
害 公 民 的 信息 安全 ,而 且 极 易 引 发 多 种 犯罪 ,成 为 电信 诈骗 、 网 络 诈骗 以 及 滋 扰 型 “ 软 暴 力 ” 
等 新 型 犯罪 的 根源 ,甚至 与 绑架 .敲诈 勒索 .暴力 追 债 等 犯罪 活动 相 结合 ,影响 人 民 和 群众 的 安 
全 感 ,威胁 社会 和 谐 稳 定 。 各 级 公安 机 关 、 人 民 检 察 院 、 人 民法 院 务 必 清 醒 认识 此 类 犯罪 的 
严重 危害 ,以 对 党 和 人 民 高 度 负责 的 精神 ,统一 思想 ,提高 认识 ,精心 组 织 ,周密 部 署 ,依法 惩 
处 侵害 公民 个 人 信息 犯罪 活动 。 

二 、 正 确 适 用 法 律 ,实现 法 律 效 果 与 社会 效果 的 有 机 统一 。 侵 害 公民 个 人 信息 犯罪 是 
新 型 犯罪 ,各 级 公安 机 关 、 人 民 检 察 院 、 人 民法 院 要 从 切实 保护 公民 个 人 信息 安全 和 维护 社 
会 和 谐 稳定 的 高 度 , 借 鉴 以 往 的 成 功 判例 ,综合 考虑 出 售 \ 非 法 提供 或 非法 获取 个 人 信息 的 
次 数 、 数 量 、 手 段 和 牟利 数额 ,造成 的 损害 后 果 等 因素 ,依法 加 大 打击 力度 ,确保 取得 良好 的 
法 律 效果 和 社会 效果 。 出 售 ,非法 提供 公民 个 人 信息 罪 的 犯罪 主体 , 除 国家 机 关 或 金融 、 电 
信 、 交 通 、 教 育 、 医 疗 单位 的 工作 人 员 之 外 ,还 包括 在 履行 职责 或 者 提供 服务 过 程 中 获得 公民 
个 人 信息 的 商业 、 房 地 产业 等 服务 业 中 其 他 企 事业 单位 的 工作 人 员 。 公 民 个 人 信息 包括 公 
民 的 姓名 \ 年 龄 有 效 证 件 号 码 、 婚 姻 状 况 、 工 作 单位 学历 .履历 、 家 庭 住 址 .电话 号 码 等 能 够 
识别 公民 个 人 身份 或 者 涉及 公民 个 人 隐私 的 信息 .数据 资料 。 对 于 在 履行 职责 或 者 提供 服 
务 过 程 中 ,将 获得 的 公民 个 人 信息 出 售 或 者 非法 提供 给 他 人 ,被 他 人 用 以 实施 犯罪 ,造成 受 
害 人 人 身 伤害 或 者 死亡 ,或 者 造成 重大 经 济 损失 、 恶 劣 社会 影响 的 ,或 者 出 售 \ 非 法 提供 公民 
个 人 信息 数量 较 大 ,或 者 违法 所 得 数额 较 大 的 , 均 应 当 依 法 以 出 售 、 非 法 提供 公民 个 人 信息 
罪 追究 刑事 责任 。 对 于 窃取 或 者 以 购买 等 方法 非法 获取 公民 个 人 信息 数量 较 大 ,或 者 违法 
所 得 数额 较 大 ,或 者 造成 其 他 严重 后 果 的 ,应 当 依法 以 非法 获取 公民 个 人 信息 罪 追究 刑事 责 
任 。 对 使 用 非法 获取 的 个 人 信息 ,实施 其 他 犯罪 行为 ,构成 数 罪 的 ,应 当 依法 了 予以 并 罚 。 单 
位 实施 侵害 公民 个 人 信息 犯罪 的 .应当 追究 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 的 刑 
事 责 任 。 要 依法 加 大 对 财产 刑 的 适用 力度 ,剥夺 犯罪 分 子 非法 获 利 和 再 次 犯罪 的 资本 。 

三 、 加 强 协作 配合 ,确保 执法 司法 及 时 高 效 。 侵 害 公 民 个 人 信息 犯罪 网 络 覆 盖 面 大 , 关 
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系 错 综 复杂 。 犯 罪行 为 发 生地 ,犯罪 结果 发 生地 ,犯罪 分 子 所 在 地 等 往往 不 在 一 地 。 同 时 ， 
由 于 犯罪 行为 大 多 依托 互联 网 、 移 动 电子 设备 ,通过 即时 通讯 工具 .电子 邮件 等 多 种 方式 实 
施 ,调查 取证 难度 很 大 。 各 级 公安 机 关 、 人 民 检 察 院 、 人 民法 院 要 在 分 工 负责 、 依 法 高 效 履行 
职责 的 基础 上 ,进一步 加 强 沟通 协调 ,通力 配合 ,密切 协作 ,保证 立案 、 侦 查 、 批 捕 、 审 查 起 诉 、 
审判 等 各 个 环节 顺利 进行 。 对 查获 的 侵害 公民 个 人 信息 犯罪 案件 ,公安 机 关 要 按照 属地 管 
辖 原则 ,及 时 立案 侦查 ,及 时 移送 审查 起 诉 。 对 于 几 个 公安 机 关 都 有 权 管 辖 的 案件 ,由 最 初 
受理 的 公安 机 关 管 辖 。 必 要 时 ,可 以 由 主要 犯罪 地 的 公安 机 关 管 辖 。 对 管辖 不 明确 或 者 有 
争议 的 刑事 案件 ,可 以 由 有 关公 安 机 关 协 商 。 协 商 不 成 的 ,由 共同 的 上 级 公安 机 关 指定 管 
辖 。 对 于 指定 管辖 的 案件 ,需要 逮捕 犯罪 嫌疑 人 的 ,由 被 指定 管辖 的 公安 机 关 提 请 同 级 人 民 
检察 院 审查 批准 ; 需要 提起 公诉 的 ,由 该 公安 机 关 移 送 同 级 人 民 检 察 院 审查 决定 ; 人 民 检 
察 院 对 于 审查 起 诉 的 案件 ,按照 刑事 诉讼 法 的 管辖 规定 ,认为 应 当 由 上 级 人 民 检 察 院 或 者 同 
级 其 他 人 民 检 察 院 起 诉 的 ,应 当 将 案件 移交 有 管辖 权 的 人 民 检 察 院 ; 人 民 检 察 院 认为 需要 
依照 刑事 诉讼 法 的 规定 指定 审判 管辖 的 ,应 当 协商 同 级 人 民法 院 办 理 指定 管辖 有 关 事宜 。 
在 办 理 侵害 民 个 人 信息 犯罪 案件 的 过 程 中 ,对 于 疑难 、 复 杂 案 件 ,人 民 检 察 院 可 以 适时 派 员 
会 同 公安 机 关 共 同 就 证 据 收集 等 方面 进行 研究 和 沟通 协调 。 人 民 检 察 院 对 于 公安 机 关 提 请 
批准 建 捕 、 移 送审 查 起 诉 的 相关 案件 ,符合 批捕 、 起 诉 条 件 的 ,要 依法 尽快 予以 批捕 、 起 诉 ; 
对 于 确 需 补 充 侦查 的 ,要 制作 具体 ,详细 的 补充 侦查 提纲 。 人 民法 院 要 加 强 审判 力量 ,准确 
定性 ,依法 快 审 快 结 。 

四 、 推 进 综合 治 理 。 建 立 防范 ,打击 长 效 工作 机 制 。 预 防 和 打击 侵害 公民 个 人 信息 犯 
罪 是 一 项 艰巨 任务 ,必须 标本 兼治 ,积极 探索 和 构建 防范 .打击 的 长 效 工 作 机 制 。 各 地 公安 
机 关 、 人 民 检 察 院 、 人 民法 院 在 依法 惩处 此 类 犯罪 的 同时 ,要 积极 参与 综合 治理 ,注意 发 现 保 
护 公民 个 人 信息 工作 中 的 漏洞 和 隐患 ,及 时 通报 相关 部 门 ,提醒 和 督促 有 关 部 门 和 单位 加 强 
监管 .完善 制度 。 要 充分 利用 报纸 .广播 电视、 网 络 等 多 种 媒体 平台 ,大 力 宣传 党 和 国家 打 
击 此 类 犯罪 的 决心 和 力度 ,宣传 相关 的 政策 和 法 律 法 规 ,提醒 和 教育 广大 群众 运用 法 律 保障 
和 维护 自身 合法 权益 ,提高 自我 防范 的 意识 和 能 力 。 

各 地 接 此 通知 后 ,请 迅速 传达 至 各 级 人 民法 院 ` 人 民 检 察 院 ` 公 安 机 关 。 执 行 中 遇 到 的 
问题 ,请 及 时 报 最 高 人 民法 院 、 最 高 人 民 检 察 院 、 公 安 部 。 


附录 22 关于 依法 办 理 非法 生产 销售 使 用 “ 伪 基 站 ” 
设备 案件 的 意见 
公 通 字 [2014]13 号 
各 省 、 自 治 区 、 直 辖 市 高 级 人 民法 院 , 人 民 检 察 院 ,公安 厅 、 局 ,国家 安全 厅 、 局 ,新 疆 维 吾 


尔 自 治 区 高 级 人 民法 院 生 产 建设 兵团 分 院 , 新 疆 生产 建设 兵团 人 民 检 察 院 、 公 安 局 .国家 安 
全 局 : 
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近年 来 ,各 地 非法 生产 、 销 售 、 使 用 * 伪 基站 ?设备 违法 犯罪 活动 日 益 猩 儿 , 有 的 借 以 非法 
获取 公民 个 人 信息 ,有 的 非法 经 营 广告 业务 ,或 者 发 送 虚 假 广告 ,甚至 实施 诈骗 等 犯罪 活动 。 
“ 伪 基 站 ”设备 是 未 取得 电信 设备 进 网 许可 和 无 线 电 发 射 设备 型 号 核准 的 非法 无 线 电 通 信 设 
备 , 具 有 搜 取 手机 用 户 信息 ,强行 向 不 特定 用 户 手机 发 送 短信 息 等 功能 ,使 用 过 程 中 会 非法 
占用 公众 移动 通信 频率 ,局 部 阻 断 公众 移动 通信 网 络 信号 。 非 法 生产 、 销 售 、 使 用 * 伪 基站 ” 
设备 ,不 仅 破坏 正常 电信 秩序 ,影响 电信 运营 商 正常 经 营 活动 ,危害 公共 安全 ,扰乱 市 场 秩 
序 , 而 且 严重 影响 用 户 手机 使 用 ,损害 公民 财产 权益 ,侵犯 公民 隐私 ,社会 危害 性 严重 。 为 依 
法 办 理 非法 生产 、 销 售 、 使 用 "人 擅 基 站 ”设备 案件 ,保障 国家 正常 电信 秩序 ,维护 市 场 经 济 秩 
序 ,保护 公民 合法 权益 ,根据 有 关 法 律 规定 ,制定 本 意见 。 

一 、 准 确认 定 行 为 性 质 

(一 ) 非法 生产 、 销 售 “ 伪 基站 ”设备 ,具有 以 下 情形 之 一 的 ,依照 (刑法 ) 第 二 百 二 十 五 条 
的 规定 ,以 非法 经 营 罪 追 究 刑 事 责任 : 

1. 个 人 非法 生产 ,销售 “ 伪 基 站 ”设备 三 套 以 上 ,或 者 非法 经 车 数额 五 万 元 以 上 ,或 者 违 
法 所 得 数额 二 万 元 以 上 的 ; 

2. 单位 非法 生产 、 销 售 “ 伪 基 站 ”设备 十 套 以 上 ,或 者 非法 经 营 数 额 十 五 万 元 以 上 ,或 者 
违法 所 得 数额 五 万 元 以 上 的 ; 

3. 虽 未 达到 上 述 数 额 标准 ,但 两 年 内 曾 因 非法 生产 、 销 售 “ 伪 基 站 ”设备 受过 两 次 以 上 
行政 处 罚 , 又 非法 生产 、 销 售 “ 伪 基站 ”设备 的 。 

实施 前 款 规定 的 行为 ,数量 、 数 额 达到 前 款 规定 的 数量 、 数 额 五 倍 以 上 的 ,应 当 认 定 为 
《刑法 ) 第 二 百 二 十 五 条 规定 的 “情节 特别 严重 ”。 

非法 生产 、 销 售 “ 伪 基站 ”设备 ,经 鉴定 为 专用 间谍 器 材 的 ,依照 (刑法 ) 第 二 百 八 十 三 条 
的 规定 ,以 非法 生产 、 销 售 间谍 专用 器 材 罪 追究 刑事 责任 ; 同时 构成 非法 经 营 罪 的 ,以 非法 
经 营 罪 追究 刑事 责任 。 

(二 ) 非法 使 用 “ 伪 基 站 ”设备 干扰 公用 电信 和 网络 信号 ,危害 公共 安全 的 ,依照 (刑法 ) 第 
一 百 二 十 四 条 第 一 款 的 规定 ,以 破坏 公用 电信 设施 罪 追 究 刑事 责任 ; 同时 构成 虚假 广告 罪 、 
非法 获取 公民 个 人 信息 罪 ,破坏 计算 机 信息 系统 罪 、 扰 乱 无 线 电 通讯 管理 秩序 罪 的 ,依照 处 
罚 较 重 的 规定 追究 刑事 责任 。 

除法 律 \ 司 法 解释 男 有 规定 外 ,利用 “ 伪 基 站 ”设备 实施 诈骗 等 其 他 犯罪 行为 ,同时 构成 
破坏 公用 电信 设施 罪 的 ,依照 处 罚 较 重 的 规定 追究 刑事 责任 。 

(三 ) 明知 他 人 实施 非法 生产 、 销 售 “ 伪 基 站 ”设备 ,或 者 非法 使 用 “ 伪 基 站 ”设备 干扰 公 
用 电信 网络 信号 等 犯罪 ,为 其 提供 资金 ,场所 技术 、 设 备 等 帮助 的 ,以 共同 犯罪 论处 。 

(四 ) 对 于 非法 使 用 “ 伪 基 站 ”设备 扰乱 公共 秩序 ,侵犯 他 人 人 身 权利 、 财 产权 利 ,情节 较 
轻 , 尚 不 构成 犯罪 ,但 构成 违反 治安 管理 行为 的 ,依法 予以 治安 管理 处 罚 。 

二 、 严 格 贯彻 宽 严相济 刑事 政策 

对 犯罪 嫌疑 人 、 被 告 人 的 处 理 , 应 当 结 合 其 主观 恶性 大 小 、 行 为 危害 程度 以 及 在 案件 中 
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所 起 的 作用 等 因素 ,切实 做 到 区 别 对 待 。 对 组 织 指挥 .实施 非法 生产 、 销 售 、 使 用 “ 伪 基 站 ” 设 
备 的 首要 分 子 、 积 极 参 加 的 犯罪 分 子 , 以 及 曾 因 非 法 生产 、 销 售 \ 使 用 “ 伪 基 站 ”设备 受到 行政 
处 罚 或 者 刑事 处 罚 , 又 实施 非法 生产 、 销 售 、 使 用 “ 伪 基 站 ”设备 的 犯罪 分 子 ,应 当 作为 打击 重 
点 依法 予以 严惩 ; 对 具有 自首 .立功 、 从 犯 等 法 定 情节 的 犯罪 分 子 ,可 以 依法 从 宽 处 理 。 对 
情节 显著 轻微 .危害 不 大 的 ,依法 不 作为 犯罪 处 理 。 

三 、 合 理 确 定 管辖 

(一 ) 案件 一 般 由 犯罪 地 公安 机 关 管辖 ,犯罪 嫌疑 人 居住 地 公安 机 关 管 辖 更 为 适宜 的 ， 
也 可 以 由 犯罪 嫌疑 人 居住 地 公安 机 关 管辖 。 对 案件 管辖 有 争议 的 ,可 以 由 共同 的 上 级 公安 
机 关 指 定 管辖 ; 情况 特殊 的 ,上 级 公安 机 关 可 以 指定 其 他 公安 机 关 管 辖 。 

(二 ) 上 级 公安 机 关 指 定 下 级 公安 机 关 立 案 侦 查 的 案件 ,需要 逮捕 犯罪 嫌疑 人 的 ,由 侦 
查 该 案件 的 公安 机 关 提 请 同 级 人 民 检 察 院 审查 批准 ,人 民 检 察 院 应 当 依 法 作出 批准 逮捕 或 
者 不 批准 逮捕 的 决定 ; 需要 移送 审查 起 诉 的 ,由 侦查 该 案件 的 公安 机 关 移 送 同 级 人 民 检 察 
院 审查 起 诉 。 

(三 ) 人 民 检 察 院 对 于 审查 起 诉 的 案件 ,按照 (刑事 诉讼 法 ) 的 管辖 规定 ,认为 应 当 由 上 
级 人 民 检 察 院 或 者 同 级 其 他 人 民 检 察 院 起 诉 的 ,将 案件 移送 有 管辖 权 的 人 民 检 察 院 ,或 者 报 
上 级 检察 机 关 指 定 管辖 。 

(四 ) 符合 最 高 人 民法 院 、 最 高 人 民 检察 院 、 公 安 部 ,国家 安全 部 、 司 法 部 ,全 国人 大 法 工 
委 ( 关 于 实施 刑事 诉讼 法 若干 问题 的 规定 有 关 并 案 处 理 规定 的 ,人 民法 院 、 人 民 检 察 院 、 公 
安 机 关 可 以 在 职责 范围 内 并 案 处 理 。 

四 、 加 强 协作 配合 

人 民法 院 \ 人 民 检 察 院 ,公安 机 关 、 国 家 安全 机 关 要 认真 履行 职责 ,加 强 协调 配合 ,形成 
工作 合力 。 国 家 安全 机 关 要 依法 做 好 相关 鉴定 工作 ; 公安 机 关 要 全 面 收 集 证 据 , 特 别 是 注 
意 做 好 相关 电子 数据 的 收集 、 固 定 工作 ,对 疑难 ,复杂 案件 ,及 时 向 人 民 检 察 院 、 人 民法 院 通 
报 情况 ,对 已 经 提请 批准 建 捕 的 案件 ,积极 跟 进 、 配 合 人 民 检 察 院 的 审查 批捕 工作 ,认真 听取 
意见 ; 人 民 检 察 院 对 于 公安 机 关 提 请 批准 奸 捕 、 移 送审 查 起 诉 的 案件 ,符合 批捕 、 起 诉 条 件 
的 ,应 当 依法 尽快 予以 批捕 ,起诉 ; 人 民法 院 应 当 加 强 审判 力量 ,制订 庭审 预案 ,并 依法 及 时 
审结 。 


附录 23 Apache 日 志 配 置 


httpd. conf 保存 了 Apache 日 志 的 配置 。 其 中 ,LogFormat 指令 的 功能 是 定义 日 志 格 
式 并 为 它 指定 一 个 名 字 。 例 如 

LogFormat "%h %1 %u %t\"%r\" %>s %b" common 

该 指令 创建 了 一 种 名 为 common 的 日 志 格 式 , 日 志 的 格式 在 双 引 号 包围 的 内 容 中 指定 。 
格式 字符 串 中 的 每 一 个 变量 代表 着 一 项 特定 的 信息 ,这 些 信息 按照 格式 串 规定 的 次 序 写 和 人 
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到 日 志文 件 。 


Apache 文档 已 经 给 出 了 所 有 可 用 于 格式 串 的 变量 及 其 含义 。 

。 %…a: 远程 IP 地 址 。 

。 %…A: 本 地 IP 地 址 。 

。 %…B;: 已 发 送 的 字 节 数 , 不 包含 HTTP 头 。 

。 %…b: CLF 格式 的 已 发 送 字 节 数量 ,不 包含 HTTP 头 。 例 如 , 当 没 有 发 送 数据 时 ， 

写 入 “-” 而 不 是 0。 

…{FOOBAR }e: 环境 变量 FOOBAR 的 内 容 。 
…f: 文件 名 字 。 
…h: 远程 主机 。 
… 互 : 请 求 的 协议 。 
…{Foobar)i: Foobar 的 内 容 ,发 送 给 服务 器 的 请 求 的 标 头 行 。 
…1: 远程 登录 名 字 ( 来 自 identd ,如 提供 的 话 )。 
…m: 请 求 的 方法 。 
…{Foobar)n: 来 自 另外 一 个 模块 的 注解 Foobar 的 内 容 。 
…{Foobar}o: Foobar 的 内 容 , 应 答 的 标 头 行 。 

…p: 服务 器 响应 请 求 时 使 用 的 端口 。 
*P: 响应 请 求 的 子 进程 ID。 
。 %…q: 查询 字符 串 ( 如 果 存 在 查询 字符 串 , 则 包含 “?” 后 面 的 部 分 ; 否则 , 它 是 一 

空 字符 串 ) 。 
…Tr: 请 求 的 第 一 行 。 

“s: 状态 。 对 于 进行 内 部 重 定向 的 请 求 , 这 是 指 * 原来 * 请 求 的 状态 。 如 果 用 
…>s, 则 是 指 后 来 的 请 求 。 

“…t: 以 公共 日 志 时 间 格 式 表 示 的 时 间 ( 或 称 为 标准 英文 格式 ) 。 
…{formatit: 以 指定 格式 format 表示 的 时 间 。 

T: 为 响应 请 求 而 耗费 的 时 间 , 以 秒 计 。 

“u: 远程 用 户 ( 来 自 auth; 如 果 返 回 状态 (%s) 是 401, 则 可 能 是 伪造 的 ) 。 
…U: 用 户 所 请 求 的 URL 路 径 。 

'“v: 响应 请 求 的 服务 器 的 ServerName。 
…V: 依照 UseCanonicalName 设置 得 到 的 服务 器 名 字 。 
在 所 有 上 面 列 出 的 变量 中 ,“…” 表 示 一 个 可 选 的 条 件 。 如 果 没 有 指定 条 件 , 则 变量 的 值 


人 站 


分 和 和 


将 以 *-" 取 代 。 分 析 前 面 来 自 默认 httpd. conf 文件 的 LogFormat 指令 示例 ,可 以 看 出 它 创 


到 


妇 


E 了 一 种 名 为 common 的 日 志 格 式 , 其 中 包括 远程 主机 、 远 程 登录 名 字 、 远 程 用 户 、 请 求 时 


间 、 请 求 的 第 一 行 代码 请求 状 态 、 以 及 发 送 的 字 节 数 。 一 条 完整 的 Apache 日 志 配 置 例 子 


I 下: 
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LogFormat "%h %W%tN"%mN" %>s W%b" test 

CustomLog "| bin/rotatelogs. exe C:/logs/test _%Y %m%d. txt": 

这 两 条 文本 设置 了 Apache 日 志文 件 存储 在 C:/logs/ 目 录 下 ,并 将 其 命名 为 以 test_ 日 
期 为 文件 名 的 文本 文件 ,记录 了 远程 主机 、 时 间 、 请 求 的 第 一 行 代码 、 请 求 状态 以 及 发 送 的 字 
节 数 等 信息 ,并 将 这 个 日 志 记 录 格 式 命名 为 test。 


附录 24 电子 邮件 相关 RFC 文档 


文档 编号 协 议 

RFC821 Simple Mail Transfer Protocol 简单 邮件 传输 协议 

RFC2821 Simple Mail Transfer Protocol 

RFC822 Standard for Format of ARPA Internet Text Messages 互联 网 文本 消息 格式 标准 
RFC2822 Internet Message Format 互联 网 消息 格式 

RFC974 Mail Routing and the Domain System 邮件 路 由 与 域名 系统 

RFC1733 Distributed Electronic Mail Modelsim IMAP4 IMAP4 分 布 式 电子 邮件 模型 
RFC1869 SMTP Service Extensions 邮件 服务 扩展 

RFC1939 Post Office Protocol-Version3 邮局 协议 第 三 版 

RFC2033 “| Local Mail Transfer Protocol 本 地 邮件 传输 协议 

Multipurpose Internet Mail Extensions(MIME ) Part One: Format of Internet Message 


RFC2045 ， A 和 y 
Bodies 多 用 途 互 联网 邮件 扩充 协议 第 一 部 分 : 互联 网 消息 体格 式 
REC2046 Multipurpose Internet Mail Extensions( MIME)Part Two: Media Types 多 用 途 互 联网 网 
邮件 扩充 协议 第 二 部 分 : 媒体 格式 
MIME( Multipurpose Internet Mail Extensions)Part Three: Message Header Extensions 
RFC2047 


for Non-ASCIIText 多 用 途 互 联网 邮件 扩充 协议 第 三 部 分 : 非 ASCI 文本 报头 扩展 
RFC2076 Common Internet Message Headers 常用 互联 网 消息 头 

RFC2142 Mailbox Names for Common Services, Roles and Functions 

RFC2487 SMTP Service Extension for Secure SMTP over TLS 

RFC3501 Internet Message Access Protocol-Version4 互联 网 邮件 访问 协议 第 四 版 

RFC3834 Recommendations for Automatic Responses to Electronic Mail 电子 邮件 自动 回复 建议 
RFC4408 Sender Policy Framework 发 送 方 策略 框架 

RFC4409 Message Submission for Mail 邮件 消息 提交 

RFC5064 The Archived-At Message Header Field 邮件 头 域 存档 

RFC5321 Simple Mail Transfer Protocol 简单 邮件 传输 协议 

RFC5322 Internet Message Format 
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附录 25 HTTP 响应 码 


说 明 

响应 码 四 

ii 分 组 交换 协议 

101 人 

2 被 创建 

201 六 

0 非 授 权 信息 

203 村 权 

2 重 置 内 容 

2 部 分 内 容 

206 部 分 内 

ao 永久 地 传送 

301 

3 参见 其 他 

303 多 

3 使 用 代理 

3 暂时 重 定向 

40 错误 请 求 

400 针 请 

1 要 求 付费 

402 要 来 

404 未 找到 

4 不 允许 的 方法 

40 不 被 采纳 

407 要 求 代理 授权 

0 请 求 超时 

408 LE 

409 

mm 要 求 的 长 度 

1 前 提 不 成 立 

1 请 求实 例 太 大 

44 请 求 URI 太 大 

人 不 支持 的 媒体 类 型 

1 车轴 让 直 记 

4 失败 的 预 

ED 内 部 服务 器 错误 

0 未 被 使 用 

302 网 关 错 误 

308 不 可 用 的 服务 

50 网 关 超 时 

5 HTTP 版 本 未 被 支持 

505 


附录 26 ”Windows 注册 表 自 启动 项 


1. 自 启动 注册 表 项 
通过 在 下 面 的 任意 键 中 添加 一 个 条 目 是 最 常见 的 被 大 部 分 恶意 软件 使 用 的 自 启 动 方式 : 
LHKEY _LOCAL _MACHINE \ Software \ Microsoft\ Windows \ CurrentVersion \ 
RunServices | 
LHKEY _LOCAL _MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ 
RunServicesOnce | 
[HKEY_LOCAL MACHINE\Software\ Microsoft\Windows\CurrentVersion\Run | 
[HKEY _LOCAL _MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ 
RunOnce] 
[HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\ Run] 
[HKEY _CURRENT _USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
RunOnce] 
[HKEY _CURRENT _USER \ Software \ Microsoft \ Windows \ CurrentVersion \ 
RunServices | 
通过 添加 键 值 使 恶意 软件 的 文件 可 以 在 每 次 Windows 启动 时 执行 。 恶 意 软 件 常用 的 
方法 是 在 Windows 或 系统 目录 中 释放 一 个 副本 ,然后 在 列 出 的 这 些 启动 键 中 添加 一 个 条 
目 , 这 样 这 个 被 释放 的 副本 会 在 每 次 系统 重启 后 执行 。 
2. 类 文件 关联 
另外 一 种 恶意 软件 使 用 的 自 启动 方式 是 通过 修改 以 下 注册 表 项 目 来 修改 类 文件 关联 ; 
[HKEY_CLASSES_ROOT\exefile\ shell\open\command| ="\“*<filerame> %1\" Wx" 
[HKEY_CLASSES_ROOT\comfile\shell\open\command]| ="\"<filename> WI1\" %x" 
[HKEY_CLASSES_ROOT\batfile\ shell\open\command | ="\"<filename> %1\" %x" 
[HKEY_CLASSES_ROOT\htafile\Shell\ Open\Command|] ="\"<fileame> %1\" %*x" 
[HKEY_CLASSES_ROOT\piffile\shell\open\command| ="\"—filename> %1\" %x" 
这 使 恶意 软件 的 副本 可 以 在 每 次 特定 类 型 文件 打开 时 被 执行 。 当 EXE .COM 、 BAT、 
HTA 或 者 PIF 文件 打开 时 ,恶意 软件 的 副本 会 被 执行 。 
另外 ,也 可 以 使 用 以 下 注册 表 项 目 : 
[HKEY_LOCAL MACHINE\ Software\ CLASSES\ batfile\shell\open\command] ="\"% 
1\" %x" 
[HKEY_LOCAL MACHINE\ Software\CLASSES\comfile\ shell\open\command |] ="\"% 
1\" %x" 
LHKEY_LOCAL_ MACHINE\ Software\CLASSES\exefile\ shell\open\command] ="\"% 
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IN Soe" 

LHKEY _LOCAL_MACHINE\ Software\ CLASSES\ htafile\ Shell\ Open\ Command] = 
"WIN Wx" 

[HKEY_LOCAL_ MACHINE\ Software\CLASSES\piffile\shell\open\command |] ="\"%1 
Vx 

和 前 面 的 例子 一 样 ,这 里 列 出 的 项 目 也 可 以 让 恶意 软件 在 BAT、.COM、EXE、HTA 或 
PIF 文件 打开 时 被 执行 。 

3. 其 他 注册 表 自 启动 项 

1) UserInit 注册 表 值 (NT/2000/XP) 

[HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows NT\CurrentVersion\ 
Winlogon | 

"Userinit" 二 "C:\Windows\System32\userinit. exe, "一 恶意 软件 路 径 和 文件 名 过 

当 用 户 登 录 时 执行 。 可 以 在 逗号 后 添加 指向 程序 的 路 径 。 

2) AppInit_DLLs 

LHKEY _LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ 
CurrentVersion\ Windows] 

"ApplInit_DLLs"="" 

在 这 个 值 中 指定 的 DLL 会 在 注册 表 修 改 后 ,被 加 载 到 新 启动 的 进程 的 内 存 中 。( 只 有 
使 用 了 user32. dll 的 windows 窗口 应 用 程序 会 受 影响 ) 

3) Winlogon\Notify( Win XP/2000/NT) 

HKEY_LOCAL MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion 
\Winlogon\Notify 

为 了 和 Winlogon. exe 进行 通讯 ,并 让 它 知道 当 发 生 一 个 事件 通知 时 应 该 执行 什么 程 
序 , 引 入 的 另外 一 个 常见 的 注册 表 键 。 

4) 特殊 的 自 启动 : 浏览 器 辅助 对 象 (BHO) 

浏览 器 辅助 对 象 ,简称 为 BHO, 实 际 上 是 一 个 当 每 次 启动 下 时 自动 运行 的 小 程序 。 

每 当 IE 的 实例 被 启动 , 它 会 查询 下 列 注册 表 键 下 的 CLSID: 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\ 
Explorer\Browser Helper Objects\ {CLSID} 

如 果 找 到 了 该 键 下 面 列 出 的 CLSID, 那 么 下 会 尝试 创建 为 每 个 对 象 创建 一 个 实例 。 

使 用 这 个 键 的 恶意 软件 /灰色 软件 一 般 是 DLL 文件 。DLL 威胁 通常 通过 在 下 面 注册 
表 键 下 添加 一 个 值 来 注册 到 系统 中 : 

HKEY_CLASSES_ROOT\CLSID\ {威胁 的 CLSID 八 InprocServer32 

(Default) 二 二 恶意 软件 /灰色 软件 的 路 径 二 
这 个 就 是 BHO 键 中 使 用 的 CLSID。 
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